Welkom bij Joomla!NL

Om alle mogelijkheden van dit forum te kunnen gebruiken, moet je je eerst registreren.

Als je zelf een extensie ontwikkelt, kan je hier je vragen stellen.

Sql injection

Sql injection

14 mrt 2015 13:10 - 14 mrt 2015 13:37
#1
Hoi,
ik ben op zoek naar iemand of een methode om een component (van mij zelf) te testen op SQL injection.

Wie kan mij daarbij helpen?

groet Jan

Edit Jelle.D: Ik heb je topic verplaatst naar het juiste forum.
Laatst bewerkt 14 mrt 2015 13:37 door Jelle.
  • Polleke
  • Polleke's berichtenfoto Heeft onderwerp gestart
  • Joomla!NL ontdekker
  • Joomla!NL ontdekker
  • Berichten: 56

Sql injection

21 mrt 2015 11:36 - 21 mrt 2015 12:58
#2
Hoi Jan,

Ik heb mijn twijfels of je hier een persoon zal vinden die van alles weet over SQL injections, maar goed. Misschien kan ik je iets wijzer maken, maar ik weet er zelf ook niet zoveel over. Ik ga het niet inhoudelijk over SQL injections hebben, dit is tegen de forumregels (hacken is strafbaar, en strafbare zaken bespreken we niet op het forum).

Misschien het handigste om zelf te kijken hoe je de interactie met de database doet? Gaat dan natuurlijk over de informatie waar de gebruiker invloed op heeft, zoals met formulieren of met querystrings (die je gebruikt bij GET requests). Hoe stuur je deze informatie naar de database? Filter je deze door bijvoorbeeld slashes aan tekens zoals aanhalingstekens ((single of double)quotes) toe te voegen, of prepare je een query?

Zelf zou ik bijvoorbeeld kiezen voor prepare, in dat geval geef je parameters op in je query en bind je een waarde (of variabele), aan de betreffende parameter. De prepare functie zal met de databind voor een juiste invoer zorgen. Escapen van de data zegmaar.

Komt er voor de database interactie geen informatie aan te pas die te manipuleren is door de eindgebruiker, dan is het in mijn ogen niet nodig om de data te preparen. Alhoewel je er wel een goede gewoonte van kan maken.

Let er vooral op dat je een niet verouderde manier van connectie met je database gebruikt. De MySQL driver is deprecated, gebruik dus minimaal MySQLi, voor een veilige connectie. En let ook op eventuele fouten die je script laat zien, hoe presenteer je deze aan de eindgebruiker(wat laat je wel of niet zien).

Edit: een gebrek van mij, ik had nog nooit prepare gebruikt binnen Joomla...(en dat is schijnbaar dus ook niet mogelijk)
Hier staat beschreven hoe je het beste waardes kan escapen binnen Joomla:
docs.joomla.org/Secure_coding_guidelines...tructing_SQL_queries
Groetjes, Julian.

Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens.
Vragen via dit forum
Wil je Joomla!NL steunen? Dat kan met een donatie.
Laatst bewerkt 21 mrt 2015 12:58 door Juliank92.
  • Juliank92
  • Juliank92's Profielfoto
  • Algemeen Moderator
  • Algemeen Moderator
  • Berichten: 1722

Sql injection

25 mrt 2015 10:55
#3
Goede tips @Juliank92

En controleer inderdaad dat je overal in desbetreffende extensie de Joomla! methodes gebruikt om de database aan te roepen, dan kan het qua SQL injections bijna niet mis gaan omdat Joomla! de input naloopt (schoonmaakt).
iDEAL voor Virtuemart 3
www.joomlavirtuemartideal.nl/ideal-compo...-virtuemart-hikashop
Tevens iDEAL voor oudere Virtuemart versies, RSForm Pro en HikaShop en meer!
KVK: 27284950

Sql injection

06 apr 2015 14:02
#4
@Polleke, heb je inmiddels voldoende informatie, of nog niet?(indien niet, graag even toelichten)
Groetjes, Julian.

Voordat je een vraag post, gebruik eerst de zoekfunctie van ons forum eens.
Vragen via dit forum
Wil je Joomla!NL steunen? Dat kan met een donatie.
  • Juliank92
  • Juliank92's Profielfoto
  • Algemeen Moderator
  • Algemeen Moderator
  • Berichten: 1722
Moderators: PeterJuliank92JelleRomke
Tijd voor maken pagina: 0.887 seconden

Wil je Joomla!NL steunen?

Steun Joomla!NLAlle teamleden werken enthousiast, op vrijwillige basis, mee aan Joomla!NL. Maar een website met forum kost nu eenmaal geld. Dus als je Joomla!NL wilt steunen, dan kan dat, graag zelfs!

Lees hier meer informatie