website attack

PHP Developer

As a PHP Developer at Coolblue, you ensure that our webshops work as optimal as possible. How do I become a PHP Developer at Coolblue? As a PHP Developer you work together with other development teams to make our webshop work as optimal as possible and to make our customers happy. Although you are a PHP Developer, you are not averse to a little TypeScript or other technologies that might be used. Would you also like to become a PHP Developer at Coolblue? Read below if the job suits you. You enjoy doing this Writing vanilla PHP code. Working with

Bekijk vacature »

Full stack developer Node.js

Functie Als fullstack JavaScript developer vind jij het uitdagend om op basis van concrete klantvragen nieuwe functionaliteiten te ontwikkelen. Bij voorkeur worden deze functionaliteiten op een bepaalde manier geprogrammeerd, zodat ze door meerdere klanten te gebruiken zijn. Je hebt dus vaak te maken met abstracte vraagstukken. Om dit te kunnen realiseren sta je nauw in contact met de product owner en/of klant. Je bent niet alleen onderdeel van het development team, maar hebt ook vaak contact met de product-owner en/of klanten om daardoor inzichten te verzamelen die leiden tot productverbeteringen. â€¢ Inzichten verzamelen bij de klant en/of product owner â€¢

Bekijk vacature »

Oracle APEX Ontwikkelaar (3.500-6.000 euro)

Bedrijfsomschrijving Ben jij een getalenteerde Oracle APEX ontwikkelaar met minimaal Ã©Ã©n jaar ervaring in het ontwikkelen van Oracle APEX-applicaties? Ben je gepassioneerd over het ontwikkelen van bedrijfskritische oplossingen en wil je werken bij een toonaangevend consultancybedrijf? Dan zijn wij op zoek naar jou! Deze organisatie beschikt over zowel inhouse als externe projecten, maar bovenal over een sterk team en netwerk van opdrachten waardoor jij jezelf verder kunt ontwikkelen. Het team bestaat uit een aantal junior en medior developers, maar vooral uit senioren. De business unit managers binnen het team zijn mensen die hun vak verstaan en zelf als Oracle APEX

Bekijk vacature »

Klein team zoekt grote fullstack .NET developer to

Bedrijfsomschrijving Deze werkgever is marktleider in de Benelux en is Europees ook al aardig aan de weg aan het timmeren. Ze voorzien technische winkels van apparatuur om producten een langer leven te geven. Hiermee reduceren ze flink wat CO2 uitstoot en dat is natuurlijk goed voor iedereen! IT speelt een belangrijke rol in de bedrijfsvoering en de applicaties zijn van goed niveau. Als fullstack .NET developer ga jij je bijdrage leveren aan het verder verbeteren van de applicaties en de interne processen. Ze zijn nu met ruim 50 medewerkers in totaal en de afdeling development bestaat uit een 5tal developers.

Bekijk vacature »

Medior/senior front end developer

Functie Vanwege de groei binnen het bedrijf zijn we op zoek naar versterking in het development team. Als back-end developer bouw je aan de bedrijfssoftware die ons helpt bij de primaire processen. Een leuk (intern) project dus waarbij je de software continu doorontwikkeld! Je werkt in een klein team, we hebben dagelijks stand-ups en iedere twee weken een scrum-sessie, begeleid door onze Scrum Master. Hierin krijg je uitgebreid de kans om je ideeÃ«n te presenteren, en te overleggen met je mede-ontwikkelaars en de Product Owner. Binnen de ontwikkelteams gebruiken we Trello, Gitlab, Jiira, Confluence en Boockstack. Hiernaast werken ze met

Bekijk vacature »

Senior Front-end developer Consultancy

Functie Als front-end developer ga je aan de slag voor verschillende klanten, waarbij veel rekening wordt gehouden met waar je woont (dit is altijd binnen het uur), en word er gezocht naar een organisatie die past bij jou. Zowel qua persoonlijke ambities als de technische aansluiting. De opdrachten duren gemiddeld 1 Ã 2 jaar maar dit hangt ook af van je wensen. Je werkt in een teamverband voor een klant en zult nauw samenwerken met zowel eigen collegaâ€™s als die bij de klant werkzaam zijn. Ze zijn op zoek naar een technische front-end developer die ruime ervaring heeft in Ã©Ã©n

Bekijk vacature »

SQL Developer

Functie omschrijving We are looking for a dutch native speaker Jij gaat in deze functie aan de slag met uitdagende projecten en het creÃ«ren van maatwerk software, vooral middels SQL. Iedere klant/project is weer anders, maar dat maakt dit bedrijf en de functie erg uniek & uitdagend. Verder heb je de volgende taken: Ontwikkelen en ontwerpen van SQL databases. T-SQL wordt hierbij gebruikt als programmeer laag; Optimalisatie van query's, voor een verbeterde efficiency; Begeleiden van junior developers, mits je dit leuk vindt; Heb je meer interesse in een rol als consultant, dan is dit ook mogelijk. Je heb hier meer

Bekijk vacature »

Back end Node.js developer

Functie Het ontwikkelteam bestaat momenteel uit 5 (back-end) Developers, 2 systeembeheerders, 1 DevOps engineer, 1 Tech Lead en 2 Scrum Masters. Samen wordt er doorontwikkeld aan twee SaaS-platformen die in een hoog tempo doorontwikkeld moeten worden. Omdat innovatie een belangrijk speerpunt binnen de organisatie is, wordt er ook continu naar snellere en slimmere oplossingen te bedenken en realiseren. Als Back-end Developer hou jij je dagelijks bezig met vraagstukken zoals: API-development, high volume datastromen, het ontwikkelen van Bots aan de hand van A.I. Daarnaast denk en werk jij mee aan de onlineapplicaties voor klanten. Er wordt zelfstandig en in teamverband gewerkt

Bekijk vacature »

Grafisch vormgever

Standplaats: Maasland Aantal uren: 32 â€“ 40 uur per week Opleidingsniveau: HBO werk- en denkniveau Ben jij een ambitieuze grafisch vormgever met een passie voor creativiteit en oog voor detail? Vind jij het daarnaast leuk om ook marketingactiviteiten op te pakken? Dan zijn wij op zoek naar jou! Bedrijfsinformatie Westacc Group BV is het zusterbedrijf van HABA en specialiseert zich in (maatwerk) oplossingen voor (elektro) techniek en verlichting in de kampeerbranche. Zij produceren en assembleren onderdelen voor caravans, campers en boten. Voor een groot aantal caravan- en campermerken leveren wij producten als zekeringkasten, invoerdozen, acculaders, schakelmateriaal en verlichting. De producten

Bekijk vacature »

Medior Java developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collegaâ€™s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »

Back-End Web Developer

Als Back-End Web Developer bij Coolblue zorg je ervoor dat onze webshops elke dag een beetje beter zijn. Wat doe je als Back-End Web Developer bij Coolblue? Als Back-End Web Developer werk je met andere development teams samen om onze webshop zo optimaal mogelijk te laten werken en onze klanten blij te maken. Als backend developer weet je de weg in PHP, kan je in Typescript een microservice op zetten of ben je bereid om dit te leren. Ook Web Backend Developer worden bij Coolblue? Lees hieronder of het bij je past. Dit vind je leuk om te doen PHP

Bekijk vacature »

Back-end .NET Developer

Functie omschrijving C# / .NET Developer gezocht voor een dynamische organisatie in de regio Houten! Voor een leuke organisatie in de regio Houten zijn wij op zoek naar een Back-end developer die klaar is voor een nieuwe uitdaging. In deze functie werk jij aan verschillende projecten en ga je vaak bij klanten op bezoek. Binnen deze functie kun je een grote mate van uitdaging, diversiteit en verantwoordelijkheid treffen. Bedrijfsprofiel Waar ga je werken? Het bedrijf waar je gaat werken is gespecialiseerd in het ontwerpen en implementeren van procesautomatisering en procesinformatisering. Zij doen dit onder andere voor de (petro)chemie, pharma, infra,

Bekijk vacature »

Applicatie ontwikkelaar

Functie omschrijving Zelfstandige applicatie ontwikkelaar gezocht voor familiair bedrijf in omgeving Barendrecht! Ben jij op zoek naar een nieuwe uitdaging en zoek jij een informele werkgever waar je zelfstandig kunt werken binnen een leuk IT team, lees dan snel verder want wie weet zijn wij op zoek naar jou! Binnen deze rol houdt jij je met het volgende bezig: Onderhouden en ontwikkelen van de IT systemen; Opzetten van Azure Cloud systemen, denk aan interfaces, hardware op de Cloud, webportalen of BI functies; Werken aan scripts binnen verschillende software applicaties, denk aan ERP en CAD; Ontwikkelen en implementeren van MS PowerApps

Bekijk vacature »

Software Ontwikkelaar PHP

Functie omschrijving Full Stack Software Ontwikkelaar gezocht! Voor een bedrijf in de regio van Ermelo zijn wij op zoek naar een Software Ontwikkelaar die gaat bijdragen aan het door ontwikkelen, onderhouden en optimaliseren van SaaS applicatie van dit bedrijf. Hierbij ga jij voor- en samenwerken met de klanten van de organisatie, het is hierbij dus van groot belang dat je communicatief vaardig bent en dat je beschikt over beheersing van zowel de Nederlandse als Engelse taal. Bedrijfsprofiel Waar ga je werken? Altijd al in een echt familiebedrijf willen werken? Dan is dit je kans! Het bedrijf waar je komt te

Bekijk vacature »

J C

15/02/2015 17:19:58

Sinds twee dagen wordt mijn website aangevallen, waardoor het de website overbelast werd.

Je krijgt dan als foutmelding iets als: exceeded the max_connections_per_hour.

Inmiddels is dit verhoogd waardoor de website weer bereikbaar is.

Als ik de errorlog erbij pak krijg ik veel dingen als onderstaande meldingen, is hieruit op te maken dat er een grove fout in mijn script zit dat ze aan het gebruiken zijn?

Quote:

[Sun Feb 15 01:20:03.630711 2015] [:error] [pid 4543] [client #####] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'The used SELECT statements have a different number of columns' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 ***** \n#2 {main}\n thrown in ***** on line 71, referer: *****'+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39,0x39313335313435363232362e39,0x39313335313435363232372e39,0x39313335313435363232382e39,0x39313335313435363232392e39,0x39313335313435363233302e39,0x39313335313435363233312e39,0x39313335313435363233322e39,0x39313335313435363233332e39,0x39313335313435363233342e39,0x39313335313435363233352e39,0x39313335313435363233362e39,0x39313335313435363233372e39,0x39313335313435363233382e39,0x39313335313435363233392e39,0x39313335313435363234302e39,0x39313335313435363234312e39,0x39313335313435363234322e39,0x39313335313435363234332e39,0x39313335313435363234342e39,0x39313335313435363234352e39,0x39313335313435363234362e39,0x39313335313435363234372e39,0x39313335313435363234382e39,0x39313335313435363234392e39,0x39313335313435363235302e39,0x39313335313435363235312e39,0x39313335313435363235322e39,0x39313335313435363235332e39,0x39313335313435363235342e39,0x39313335313435363235352e39,0x39313335313435363235362e39,0x39313335313435363235372e39,0x39313335313435363235382e39,0x39313335313435363235392e39,0x39313335313435363236302e39,0x39313335313435363236312e39,0x39313335313435363236322e39,0x39313335313435363236332e39,0x39313335313435363236342e39,0x39313335313435363236352e39,0x39313335313435363236362e39,0x39313335313435363236372e39,0x39313335313435363236382e39,0x39313335313435363236392e39,0x39313335313435363237302e39,0x39313335313435363237312e39,0x39313335313435363237322e39,0x39313335313435363237332e39,0x39313335313435363237342e39,0x39313335313435363237352e39,0x39313335313435363237362e39,0x39313335313435363237372e39,0x39313335313435363237382e39,0x39313335313435363237392e39,0x39313335313435363238302e39,0x39313335313435363238312e39,0x39313335313435363238322e39,0x39313335313435363238332e39,0x39313335313435363238342e39,0x39313335313435363238352e39+and+'0'='0--

Quote:

[Sun Feb 15 01:18:52.338818 2015] [:error] [pid 4542] [client ######] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(/**/sElEcT 1 /**/fRoM(/**/sElEcT count(*),/**/cOnCaT((/**/sElEcT(/**/sElEcT /**' at line 10' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 *****): include_once('***o...')\n#2 {main}\n thrown in ***** on line 71, referer: *****(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fuNhEx(%2f**%2fhEx(%2f**%2fcOnCaT(0x217e21,0x4142433134355a5136324457514146504f4959434644,0x217e21))))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+'

Quote:

[Sun Feb 15 01:18:52.597517 2015] [:error] [pid 4526] [client ######] PHP Fatal error: Uncaught exception 'mysqli_sql_exception' with message 'Duplicate entry '!~!ABC145ZQ62DWQAFPOIYCFD!~!1' for key 'group_key'' in *****\nStack trace:\n#0 *****: mysqli->query('\\n\\t\\t\\t\\t\\t\\tSELECT\\n\\t...')\n#1 *****: include_once('***...')\n#2 {main}\n thrown in ***** on line 71, referer: *****'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fuNhEx(%2f**%2fhEx(%2f**%2fcOnCaT(0x217e21,0x4142433134355a5136324457514146504f4959434644,0x217e21))))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1

Gewijzigd op 15/02/2015 21:14:59 door J C

PHP hulp

21/12/2024 19:12:14

Eeyk Vd noot

15/02/2015 17:38:03

Als ik het zo zie dan hebben ze een sql injectie gebruikt.

J C

15/02/2015 17:41:21

Dat dacht ik eerst ook, maar het stukje zou volgens mij veilig moeten zijn:

Code (php)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

$mainqry    ="
                        SELECT
                                website_titel,
                                website_naam,
                                website_inhoud
                        FROM
                                website
            ";

if (!isset ($_GET['pagina']) || $_GET['pagina'] == '')
    {
$mainqry     .="            WHERE
                                website_id=201
            ";
    }
else
    {
$mainqry     .="         WHERE
                                website_id BETWEEN  200 and 299
                        AND
                                website_naam='".mysql_real_escape_string($_GET['pagina'])."'
            ";
    }

    $mainsql = $connection->query($mainqry);

IS er hier uit te halen of ze er ook in zijn gekomen?

Gewijzigd op 15/02/2015 17:41:42 door J C

Moderator

Ward van der Put

15/02/2015 17:42:32

Iemand probeert je site te hacken met SQL-injectie. Als dat in een fatal error eindigt, is dat niet zo'n probleem; je moet je meer zorgen maken over de injecties die wél slagen en die je daardoor niet als error voorbij ziet komen.

Als /medewerkers/ alleen voor medewerkers toegankelijk is, zou ik die directory snel even dichttimmeren met een whitelist van vertrouwde IP-adressen in .htaccess. Dat is de snelste oplossing. (Je voorbeelden noemen slechts één kwaadaardig IP-adres, maar er kunnen meerdere IP-adressen worden gebruikt.)

Daarna eens controleren of je ergens gevoelig bent voor SQL-injectie.

J C

15/02/2015 17:46:02

Bedankt, ik was al bezig alles overzetten naar het nieuwe php en daarmee alle scripts te controleren.
Maar dat heeft dus vanaf nu prioriteit nummer 1.

Ik kan uit de database niet halen dat er iemand is ingelogd.
Dit wordt namelijk wel bijgehouden.

We hebben best wel wat medewerkers, die ook via hun telefoon inloggen op de website.
Ik zal eens kijken of ik al die ipadressen kan gebruiken.

Thomas van den Heuvel

15/02/2015 19:31:13

$connection->query($mainqry);
<-- -->
mysql_real_escape_string($_GET['pagina'])

???

Gebruik je overal (nog) de mysql-extensie?
En als je dan toch een wrapper hebt, waarom maak je dan geen shorthand voor mysql_real_escape_string()?
$connection->escape() leest toch wat prettiger. Ik zou het ook $db noemen, en niet $connection.

Het zou ook logischer zijn dat als je van een wrapper gebruik maakt, ook alles in deze wrapper zit.

Daarnaast, weet je zeker dat de bovenstaande query je parten speelt?
Tevens, is je character encoding overal hetzelfde? Dit is namelijk van cruciaal belang voor de correcte werking van _real_escape_string() functionaliteit en daarmee dus ook voor het voorkomen van SQL-injectie.

En ook: het escapen van je (SQL) output alleen is soms niet genoeg. Soms moet je je input ook filteren.
Als je een numerieke waarde verwacht in $_GET['whatever'], controleer hier dan op. Als deze waarde vervolgens niet numeriek is, zou je de query niet eens uit moeten voeren.

J C

15/02/2015 19:46:18

Ik ben nu alles aan het omzetten naar mysqli en probeer meteen dit soort dingen te tackelen.
Door de jaren heen zijn die basis bestanden een beetje verwaterd.
Het is me ook niet helemaal meer duidelijk waarom ik dit zo heb gedaan.

ik heb er nu dit van gemaakt:

Code (php)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

if(isset($_GET['pagina'])){
$pagina = $_GET['pagina'];
}
else
{
$pagina = 'home';
}

$qry    ="
    SELECT
            website_titel,
            website_naam,
            website_inhoud
    FROM
            website
    WHERE
        website_id
            BETWEEN  200 and 299
    AND
        website_naam=?
            ";

    $statement = $connection->prepare($qry);
    $statement->error;
    $statement->bind_param('s', $pagina);
    $statement->execute();
    $result = $statement->get_result();
    $maintekst = $result->fetch_assoc();

Thomas van den Heuvel

15/02/2015 20:17:38

Wellicht wil je je oorspronkelijke bericht ook anonimeseren.

Hier zitten nu nog remote IP's in (die trouwens van nederlandse origine lijken te zijn :)) en de URL van je website.

Waarschijnlijk wil je juist nu niet nog meer mensen hebben die aan jouw poort(en) gaan voelen wel?

Gewijzigd op 15/02/2015 20:18:12 door Thomas van den Heuvel

Gewijzigd op 15/02/2015 20:37:38 door J C

Forum berichten

Reacties

PHP scripts

PHP tutorials

Actief op PHPhulp

website attack

J C

PHP hulp

Eeyk Vd noot

J C

Ward van der Put

J C

Thomas van den Heuvel

J C

Thomas van den Heuvel

J C

Thomas van den Heuvel

J C

- wes -

J C

Ivo P

Over PHPhulp

Support

Gesponsord

Extra's

Privacy