Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MySQL En SQL-injectie

22-09-2012, 15:48 door blackyy, 4 reacties
Dag mensen,

Ik ben nu bezig met het leren van SQL met phpmyAdmin .

Maar wat hebben SQL-Injectie en Mysql (en phpmyadmin) allemaal met elkaar gemeen?

Want het lijkt een beetje op SQL- injectie (tables enzo)

Bedankt voor reacties!
Reacties (4)
22-09-2012, 16:44 door regenpijp
Wat de overeenkomst is? Alles
Nou, phpmyadmin is gewoon een grafisch beheerpaneel dat even los daarvan.

Met SQL injectie injecteer je SQL commando's die afhankelijk zijn van de soort SQL (MySQL, MSSQL, PostgreSQL, SQLite, etc) en deze commando's kan je dus ook gebruiken voor in phpmyadmin, mysql server en php.


offtopic: 1 vraagje: Is het misschien niet een goed idee om aan de slag te gaan met documentatie over php, mysql, etc, met de informatie op de wiki van https://www.owasp.org/ en met tutorials, zodat je een beetje een overzicht kan krijgen over de achtergrond achter SQL injectie, LFI/RFI, etc. in plaats van het openen van een topic bij ieder dingetje dat je niet weet? Het is nu eenmaal niet mogelijk om alles in één keer te leren.
22-09-2012, 19:07 door Anoniem
SQL ziet er wel een beetje uit als SQL-injectie? Uhm. Ik denk dat je de boel een klein beetje omdraait. SQL-injectie werkt doordat er gebruikersinvoer op onbedoelde wijze in gegenereerde SQL statements terecht kan komen. Dus SQL-injecties zien er meestal wel uit als SQL, ja.

Als je het niet puur en alleen om de securityaspecten gaat zou ik zeggen, leer eerst SQL eens kennen. Leuke videootjes op db-class.org. En verder, om SQL-injectie te snappen moet je natuurlijk weten hoe strings, quoting, substitutie, en dergelijke werken zowel in de database van je keuze als de taal van je keuze die het aan moet drijven. En wat daar verder nog zoal tussen zit. Een leuke truuk daar is om parameters "out of band" te versturen--aan jou de opgave uit te vogelen hoe dat te doen en waarom dat een goed idee is.

Zoals gezegd is phpmyadmin niet meer dan een front-end die SQL uitvoert op de achterliggende database en dat dan met leuke kleurtjes en flink veel klikbaars presenteert. En dat daar dan veel SQL bij komt kijken is niet heel gek nee. Maar uiteindelijk is zo ongeveer alles wat phpmyadmin doet ook "met de hand" uit te voeren door SQL naar de achterliggende database te sturen.
22-09-2012, 22:56 door Anoniem
Gezien je andere topics denk ik dat je een beetje teveel hooi op je vork neemt, en niet de juiste manier gebruikt om e.e.a. te leren. Ik weet niet waar je de benodigde informatie vandaan haalt, maar ik zou me eerst bezig houden met het leren van de 'gewone' ICT. Bijvoorbeeld het leren van databasestructuren (saaie kost) en SQL, pas als je dat onder de knie hebt kun je verder gaan kijken naar hoe SQL injection werkt. Zorg eerst voor een goede basiskennis van de diverse onderdelen, en ga dan pas verder kijken naar de security kant.

Hacken is niet iets wat je met een paar weken hard studeren kunt leren. Tenzij je al over een goede basiskennis beschikt is het een meerjarenplan.
23-09-2012, 09:50 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.