Mailinglisten-Archive

[php] =?iso-8859-1?Q?RE:_=5Bphp=5D_Sicherheitsl=FCcke?=

[php] RE: [php] Sicherheitslücke

Johann-Peter Hartmann php_(at)_phpcenter.de
Mon, 11 Mar 2002 08:55:34 +0100

Previous message: [php] Anzeige akt. Monat im Kalender
Next message: [php] checkboxes
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Hi Christian,

Christian Thiele schrieb :
> Kennt jemand eine Lücke in der PHPlib bzw. kann mir jemand
> sagen auf was ich Sicherheitstechnisch achten sollte??

	Bis vor einiger Zeit konnte man durch
	überschreiben von $_PHPLIB[libdir]
	eigenen Code ausführen lassen, wenn
	einige Vorrausetzungen erfüllt waren.

	In der Praxis liegt es aber meist eher
	an einer Sessionübernahme - weil z.B.
	in irgendeiner Seite die Sessionid steht,
	oder diese aus Versehen durch einen fixen
	Wert überschrieben wird.


> Könnte jemand durch den Loginscreen und die Eingabe von
> bestimmten Zeichenketten den SQL-Query verändern und sich
> somit Zugriff auf einen fremden Account verschaffen??

	IIRC nutzt die PHPLIB einen  select mit addslashes(),
	dh. sollte das nicht möglich sein.

	Liebe Grüße
	- johann

Previous message: [php] Anzeige akt. Monat im Kalender
Next message: [php] checkboxes
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive