Doorzoek het forum

Trefwoord

Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

× Als je zelf een extensie ontwikkelt, kan je hier je vragen stellen.

Sql injection

14 mrt 2015 13:10 14 mrt 2015 13:37 door Jelle.
Heeft onderwerp gestart
Sql injection #1
Hoi,
ik ben op zoek naar iemand of een methode om een component (van mij zelf) te testen op SQL injection.

Wie kan mij daarbij helpen?

groet Jan

Edit Jelle.D: Ik heb je topic verplaatst naar het juiste forum.
Polleke
Joomla!NL ontdekker
Joomla!NL ontdekker
Berichten: 56
Lees meer
21 mrt 2015 11:36 21 mrt 2015 12:58 door Juliank92.
Sql injection #2
Hoi Jan,

Ik heb mijn twijfels of je hier een persoon zal vinden die van alles weet over SQL injections, maar goed. Misschien kan ik je iets wijzer maken, maar ik weet er zelf ook niet zoveel over. Ik ga het niet inhoudelijk over SQL injections hebben, dit is tegen de forumregels (hacken is strafbaar, en strafbare zaken bespreken we niet op het forum).

Misschien het handigste om zelf te kijken hoe je de interactie met de database doet? Gaat dan natuurlijk over de informatie waar de gebruiker invloed op heeft, zoals met formulieren of met querystrings (die je gebruikt bij GET requests). Hoe stuur je deze informatie naar de database? Filter je deze door bijvoorbeeld slashes aan tekens zoals aanhalingstekens ((single of double)quotes) toe te voegen, of prepare je een query?

Zelf zou ik bijvoorbeeld kiezen voor prepare, in dat geval geef je parameters op in je query en bind je een waarde (of variabele), aan de betreffende parameter. De prepare functie zal met de databind voor een juiste invoer zorgen. Escapen van de data zegmaar.

Komt er voor de database interactie geen informatie aan te pas die te manipuleren is door de eindgebruiker, dan is het in mijn ogen niet nodig om de data te preparen. Alhoewel je er wel een goede gewoonte van kan maken.

Let er vooral op dat je een niet verouderde manier van connectie met je database gebruikt. De MySQL driver is deprecated, gebruik dus minimaal MySQLi, voor een veilige connectie. En let ook op eventuele fouten die je script laat zien, hoe presenteer je deze aan de eindgebruiker(wat laat je wel of niet zien).

Edit: een gebrek van mij, ik had nog nooit prepare gebruikt binnen Joomla...(en dat is schijnbaar dus ook niet mogelijk)
Hier staat beschreven hoe je het beste waardes kan escapen binnen Joomla:
docs.joomla.org/Secure_coding_guidelines#Constructing_SQL_queries

Groetjes, Julian.

Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens.
Vragen via dit Forum (niet per PM of E-mail)
Juliank92
Algemeen Moderator
Algemeen Moderator
Berichten: 1734
Lees meer
25 mrt 2015 10:55
Sql injection #3
Goede tips @Juliank92

En controleer inderdaad dat je overal in desbetreffende extensie de Joomla! methodes gebruikt om de database aan te roepen, dan kan het qua SQL injections bijna niet mis gaan omdat Joomla! de input naloopt (schoonmaakt).

iDEAL voor Virtuemart 3
www.joomlavirtuemartideal.nl/ideal-component-joomla-virtuemart-hikashop
Tevens iDEAL voor oudere Virtuemart versies, RSForm Pro en HikaShop en meer!
KVK: 27284950
David-Andrew
Bekend met Joomla!NL
Bekend met Joomla!NL
Berichten: 109
Lees meer
06 apr 2015 14:02
Sql injection #4
@Polleke, heb je inmiddels voldoende informatie, of nog niet?(indien niet, graag even toelichten)

Groetjes, Julian.

Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens.
Vragen via dit Forum (niet per PM of E-mail)
Juliank92
Algemeen Moderator
Algemeen Moderator
Berichten: 1734
Lees meer
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.136 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie

Joomla!NL op Twitter

Vandaag is Joomla! 3.9.24 vrijgegeven. Het bevat enkele veiligheidsreparaties en een groot aantal verbeteringen. Ma… https://t.co/l63WFZygT3

De naam Joomla!® en logo worden gebruikt onder een beperkte licentie met toestemming van Open Source Matters.
Joomlanl.nl is niet verbonden aan en is geen onderdeel van Open Source Matters, Inc, of het Joomla! project.

© 2021 - Joomla!NL | Gehost door Wned