Certified Secure Challenges - Over challenges en dergelijke

What's up Challenge - SQLI test

05-01-2015, 14:58 door Anoniem, 4 reacties
Ik zit nu al weken te stoeien om SQLi test nr. 34 te verslaan, maar volgens mij heb ik elke $parameter wel zo'n beetje in het vizier.

Ook al vinden pentest programmaatjes, ook niet altijd heilig en waarschijnlijk niet de bedoeling (of toch een gewenst neveneffect van het studieprogramma :), geen SQLi meer, de CS security test blijft hardnekkig volhouden. Op IRC blijft het verdacht stil.

Wie kan mij zonder spoilers verder op weg helpen?

Alvast dank!

https://www.certifiedsecure.com/profile?alias=Yutobja
Reacties (4)
06-01-2015, 11:29 door Anoniem
Om die SQL injection testen te verslaan, moet je eigenlijk niet veel doen. Alles wat je binnenkrijgt van de gebruiker en gebruikt wordt in een sql query moet je clean maken. Voor MySql is er een php functie dat dit kan.

Veel plezier nog met de challenge!
06-01-2015, 20:21 door Anoniem
Ok, bedankt, Wat ik tot nu toe doe, is met bedoelde escape functie (toch?) de juiste parameters escapen. Dit zijn er volgens mij een stuk of vijf. Blijkbaar gaat hier wat mis dan. Ik heb me nog niet gewaagd aan geparametriseerde queries want volgens mij moet je dan weer mysqli aanroepen.

Maar nogmaals dank voor de aanwijzing.
13-08-2015, 12:25 door Anoniem
Ik zit op precies hetzelfde deel.
Ik heb wel alles omgezet naar mysqli, ben je er wel uitgekomen?
Ik zou echt niet meer weten wat ik nog mis
13-08-2015, 14:43 door Anoniem
Geen quotes rond mysqli_escape? Vergeet dit niet bij integer, tabelnaam en limit query s.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.