Als je zelf een extensie ontwikkelt, kan je hier je vragen stellen.
Sql injection
Sql injection
14 mrt 2015 13:10 - 14 mrt 2015 13:37
Hoi,
ik ben op zoek naar iemand of een methode om een component (van mij zelf) te testen op SQL injection.
Wie kan mij daarbij helpen?
groet Jan
Edit Jelle. Ik heb je topic verplaatst naar het juiste forum.
ik ben op zoek naar iemand of een methode om een component (van mij zelf) te testen op SQL injection.
Wie kan mij daarbij helpen?
groet Jan
Edit Jelle. Ik heb je topic verplaatst naar het juiste forum.
- Polleke
- Heeft onderwerp gestart
- Joomla!NL ontdekker
- Berichten: 56
Sql injection
21 mrt 2015 11:36 - 21 mrt 2015 12:58
Hoi Jan,
Ik heb mijn twijfels of je hier een persoon zal vinden die van alles weet over SQL injections, maar goed. Misschien kan ik je iets wijzer maken, maar ik weet er zelf ook niet zoveel over. Ik ga het niet inhoudelijk over SQL injections hebben, dit is tegen de forumregels (hacken is strafbaar, en strafbare zaken bespreken we niet op het forum).
Misschien het handigste om zelf te kijken hoe je de interactie met de database doet? Gaat dan natuurlijk over de informatie waar de gebruiker invloed op heeft, zoals met formulieren of met querystrings (die je gebruikt bij GET requests). Hoe stuur je deze informatie naar de database? Filter je deze door bijvoorbeeld slashes aan tekens zoals aanhalingstekens ((single of double)quotes) toe te voegen, of prepare je een query?
Zelf zou ik bijvoorbeeld kiezen voor prepare, in dat geval geef je parameters op in je query en bind je een waarde (of variabele), aan de betreffende parameter. De prepare functie zal met de databind voor een juiste invoer zorgen. Escapen van de data zegmaar.
Komt er voor de database interactie geen informatie aan te pas die te manipuleren is door de eindgebruiker, dan is het in mijn ogen niet nodig om de data te preparen. Alhoewel je er wel een goede gewoonte van kan maken.
Let er vooral op dat je een niet verouderde manier van connectie met je database gebruikt. De MySQL driver is deprecated, gebruik dus minimaal MySQLi, voor een veilige connectie. En let ook op eventuele fouten die je script laat zien, hoe presenteer je deze aan de eindgebruiker(wat laat je wel of niet zien).
Edit: een gebrek van mij, ik had nog nooit prepare gebruikt binnen Joomla...(en dat is schijnbaar dus ook niet mogelijk)
Hier staat beschreven hoe je het beste waardes kan escapen binnen Joomla:
docs.joomla.org/Secure_coding_guidelines...tructing_SQL_queries
Ik heb mijn twijfels of je hier een persoon zal vinden die van alles weet over SQL injections, maar goed. Misschien kan ik je iets wijzer maken, maar ik weet er zelf ook niet zoveel over. Ik ga het niet inhoudelijk over SQL injections hebben, dit is tegen de forumregels (hacken is strafbaar, en strafbare zaken bespreken we niet op het forum).
Misschien het handigste om zelf te kijken hoe je de interactie met de database doet? Gaat dan natuurlijk over de informatie waar de gebruiker invloed op heeft, zoals met formulieren of met querystrings (die je gebruikt bij GET requests). Hoe stuur je deze informatie naar de database? Filter je deze door bijvoorbeeld slashes aan tekens zoals aanhalingstekens ((single of double)quotes) toe te voegen, of prepare je een query?
Zelf zou ik bijvoorbeeld kiezen voor prepare, in dat geval geef je parameters op in je query en bind je een waarde (of variabele), aan de betreffende parameter. De prepare functie zal met de databind voor een juiste invoer zorgen. Escapen van de data zegmaar.
Komt er voor de database interactie geen informatie aan te pas die te manipuleren is door de eindgebruiker, dan is het in mijn ogen niet nodig om de data te preparen. Alhoewel je er wel een goede gewoonte van kan maken.
Let er vooral op dat je een niet verouderde manier van connectie met je database gebruikt. De MySQL driver is deprecated, gebruik dus minimaal MySQLi, voor een veilige connectie. En let ook op eventuele fouten die je script laat zien, hoe presenteer je deze aan de eindgebruiker(wat laat je wel of niet zien).
Edit: een gebrek van mij, ik had nog nooit prepare gebruikt binnen Joomla...(en dat is schijnbaar dus ook niet mogelijk)
Hier staat beschreven hoe je het beste waardes kan escapen binnen Joomla:
docs.joomla.org/Secure_coding_guidelines...tructing_SQL_queries
Groetjes, Julian. Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens. Vragen via dit forum |
- Juliank92
- Algemeen Moderator
- Berichten: 1722
Sql injection
25 mrt 2015 10:55
Goede tips @Juliank92
En controleer inderdaad dat je overal in desbetreffende extensie de Joomla! methodes gebruikt om de database aan te roepen, dan kan het qua SQL injections bijna niet mis gaan omdat Joomla! de input naloopt (schoonmaakt).
En controleer inderdaad dat je overal in desbetreffende extensie de Joomla! methodes gebruikt om de database aan te roepen, dan kan het qua SQL injections bijna niet mis gaan omdat Joomla! de input naloopt (schoonmaakt).
iDEAL voor Virtuemart 3
www.joomlavirtuemartideal.nl/ideal-compo...-virtuemart-hikashop
Tevens iDEAL voor oudere Virtuemart versies, RSForm Pro en HikaShop en meer!
KVK: 27284950
www.joomlavirtuemartideal.nl/ideal-compo...-virtuemart-hikashop
Tevens iDEAL voor oudere Virtuemart versies, RSForm Pro en HikaShop en meer!
KVK: 27284950
- David-Andrew
- Bekend met Joomla!NL
- Berichten: 109
Tijd voor maken pagina: 0.650 seconden