SQL injection

SQL beheerder / ontwikkelaar

Functie omschrijving Voor een klant in omgeving Tiel zijn wij op zoek naar een SQL beheerder met affiniteit met technisch applicatiebeheer. Je krijgt een fijne in-house werkplek waar je gaat werken aan diverse projecten. Dit bedrijf doet het beheer van databases voor een aantal bancaire klanten. Op dit momenten hebben zij ruim 1500 databases in beheer. Jouw werkzaamheden gaan er als volgt uit zien: Je gaat de development afdeling ondersteunen bij het ontwikkelen van MS SQL Scripts. Je zal zowel zelfstandig als in teamverband MS SQL databases installeren & beheren. Je monitort en onderzoekt incidenten en de achterliggende oorzaken. Je

Bekijk vacature »

SQL Database ontwikkelaar

Functie omschrijving Wil jij meewerken aan het creÃ«ren van slimme software om magazijnen als een geoliede machine te laten lopen? Wij zoeken een zorgvuldig persoon, iemand die niet snel de hand omdraait voor complexe algoritmes. Denk jij dat jij de SQL ontwikkelaar bent die wij zoeken? Lees snel verder en wie weet zitten we binnenkort samen aan tafel! Jouw werkzaamheden zullen er als volgt uitzien: Je houdt je bezig met het ontwerpen en ontwikkelen van MS SQL server databases, dit doe je met T-SQL als programmeer laag. Je gaat aan high-end software oplossingen werken, dit doe je voor de optimalisatie

Bekijk vacature »

SQL developer

Functieomschrijving Voor een erkende werkgever in de omgeving van Tilburg zijn wij op zoek naar een ervaren SQL ontwikkelaar. Hier wordt jij mede verantwoordelijk voor zowel de design en implementatie van SQL-databases als voor het verstaan van de processen van klanten naar het vertalen van deze processen naar IT-oplossingen. Jouw takenpakket komt er als volgt uit te zien: Het ontwerpen en implementeren van databaseschema's: Je bent in staat om een database te ontwerpen en de structuur van tabellen, relaties, indexen en andere objecten te definiÃ«ren; Het schrijven van complexe SQL-query's: Je kunt complexe query's schrijven om gegevens uit de database

Bekijk vacature »

SQL ontwikkelaar

Functieomschrijving Voor een gave werkgever in regio Breda zijn wij per direct op zoek naar een SQL ontwikkelaar/ functioneel consultant. Hier wordt jij mede verantwoordelijk voor zowel de design en implementatie van SQL-databases als voor het verstaan van de processen van klanten naar het vertalen van deze processen naar IT-oplossingen. Jouw takenpakket komt als volgt uit te zien: Je test de ontwikkelde oplossingen om er zeker van te zijn dat deze voldoen aan de functionele specificaties en de behoeften van de organisatie; Je ontwerpt, ontwikkelt en implementeert SQL-databases om de data behoeften van de organisatie te ondersteunen; Je stelt op

Bekijk vacature »

SQL Database developer

Bekijk vacature »

SQL Developer

Functie omschrijving Altijd al willen werken bij een snelgroeiend bedrijf, actief in de logistieke sector? Dit is je kans! Ik ben op zoek naar een ervaren SQL Developer in de omgeving Tilburg. Dit bedrijf is gespecialiseerd in in de ontwikkeling van software en maatwerk oplossingen voor het automatiseren van logistieke processen. Klanten zijn o.a. BOL en andere grote distributiecentrums. Jouw taken worden vooral: Verantwoordelijk voor ontwikkelen van stored procedures, voor snelle afhandeling van data; Optimalisatie van de SQL query's en T-SQL query's; Jij gaat je bezig houden met ontwerpen, ontwikkelen en optimaliseren van de MS SQL Databases; In deze functie

Bekijk vacature »

SQL database developer

Functieomschrijving Heb jij ongeveer 3 jaar ervaring als SQL database developer? Dit bedrijf bouwt applicaties om processen in distributiecentra te optimaliseren. Ter uitbreiding van het development team zijn wij op zoek naar een SQL database ontwikkelaar. Wil jij werken voor een groeiende werkgever in regio Breda waar jij de ruimte en tijd krijgt jezelf te ontwikkelen? Lees dan snel verder! Hoe ziet jouw takenpakket eruit? Je houdt je bezig met het creÃ«ren en bouwen van MS SQL server databases; Je werkt aan innovatieve softwareoplossingen voor het verbeteren en/of vernieuwen van logistieke processen; Je gaat projecten vanaf het begin tot het

Bekijk vacature »

SQL Database Ontwikkelaar

Functie omschrijving Kan jij goed overweg met complexe algoritmes en het schrijven van procedures in T-SQL? Heb jij al wat ervaring opgedaan met SQL en vind je het tijd voor de volgende stap? Lees dan snel verder! Dit software bedrijf, gespecialiseerd in de ontwikkeling van logistieke software, is op zoek naar een ervaren SQL database developer. Jouw werkzaamheden zullen onder andere bestaan uit: Je houdt je bezig met het ontwerp en de ontwikkeling van MS SQL server databases, dit doe je met T-SQL als programmeer laag. De begeleiding van projecten van A tot Z, je zult aansluiten bij meetings met

Bekijk vacature »

Database developer - SQL

Functie omschrijving Kan jij goed overweg met complexe algoritmes en het schrijven van procedures in T-SQL? Heb jij al wat ervaring opgedaan met SQL en vind je het tijd voor de volgende stap? Lees dan snel verder! Dit software bedrijf, gespecialiseerd in de ontwikkeling van logistieke software, is op zoek naar een ervaren SQL database developer. Jouw werkzaamheden zullen onder andere bestaan uit: Je sluit aan bij meetings en brengt het gehele logistieke proces in kaart. Vervolgens ga je als lead developer aan de slag om de klus te klaren. Je stuurt het junior developer team en helpt, zo nodig,

Bekijk vacature »

SQL Developer

Functie omschrijving We are looking for a dutch native speaker Jij gaat in deze functie aan de slag met uitdagende projecten en het creÃ«ren van maatwerk software, vooral middels SQL. Iedere klant/project is weer anders, maar dat maakt dit bedrijf en de functie erg uniek & uitdagend. Verder heb je de volgende taken: Ontwikkelen en ontwerpen van SQL databases. T-SQL wordt hierbij gebruikt als programmeer laag; Optimalisatie van query's, voor een verbeterde efficiency; Begeleiden van junior developers, mits je dit leuk vindt; Heb je meer interesse in een rol als consultant, dan is dit ook mogelijk. Je heb hier meer

Bekijk vacature »

SQL database ontwikkelaar

Functie omschrijving Ben jij niet bang voor complexe algoritmes? Schikt het schrijven van procedures in T-SQL jouw niet af en heb jij al de nodige informatie in SQL, dan is functie precies wat voor jou! Jouw werkzaamheden gaan er als volgt uit zien: Je gaat werken aan de complexere projecten waar jij van A tot Z bij betrokken bent. Je gaat zorg dragen voor het ontwerp, de ontwikkeling en het updaten van SQL databases. Dit doe je op basis van T-SQL. Jij bent van start tot finish betrokken bij de projecten die jij leidt. Je houdt contact met klanten en

Bekijk vacature »

SQL database developer

Functie omschrijving Voor een softwarebedrijf gespecialiseerd in het ontwikkelen van logistieke software in omgeving Tilburg zijn wij op zoek naar een ervaren SQL database developer. Je gaat werken aan uitdagende, complexe projecten. Iedere klant/project betekent maatwerk in de database. Jouw werkzaamheden zullen er als volgt uit zien: Je bent verantwoordelijk voor de gehele ontwikkelstraat. Van architectuur tot ontwikkeling Je gaat je bezig houden met het ontwerpen en ontwikkelen van MS SQL server databases. Je gebruikt hiervoor T-SQL als programmeer laag. Je begeleidt als lead developer de projecten bij klanten van A â€“ Z. Je sluit aan bij meetings met klanten,

Bekijk vacature »

T-SQL Database developer

Functie omschrijving Ben jij een ETL database specialist? Houd jij ervan om te puzzelen met Databases, Query's & Stored procedures? Zoek jij uitdaging, vrijheid en verantwoordelijkheid? Zoek dan niet verder! Wij zijn per direct op zoek naar medior en senior database developers. Je gaat werken voor een relatief klein softwarebedrijf in omgeving Tilburg. Samen met 12 collega's (allemaal techneuten), ga jij je bezig houden met het bouwen en/of onderhouden van database software. Deze software wordt internationaal ingezet voor het automatiseren van logistieke processen. Jouw werkzaamheden gaan er als volgt uit zien: Je bent in een klein team met developers, verantwoordelijk

Bekijk vacature »

SQL database developer

Functie omschrijving Voor een software bedrijf in omgeving Breda zijn wij op zoek naar een SQL database ontwikkelaar. Dit bedrijf bouwt applicaties om processen in distributiecentra te optimaliseren. Ter uitbreiding van het huidige team developers zijn wij op zoek naar een SQL database ontwikkelaar. De klanten van dit groeiende bedrijf zitten door heel Europa en jouw werkzaamheden zullen er als volgt uitzien: Het samenstellen van de software op basis van de input vanuit de klant (T-SQL & C#.NET). Het bezoeken van klanten om de processen en mogelijkheden in kaart te brengen. Het ontwerpen van databases met T-SQL als programmeer laag.

Bekijk vacature »

Oracle Developer / PL SQL

Dit ga je doen Software ontwikkeling aan een internationaal gebruikt pakket; Werken met technieken als Oracle 19c, Toad, PL/SQL, Oracle Forms, Reports en Designer; Meedraaien in internationale projecten; Meedenken over technisch en functioneel ontwerp; Samenwerken met collega's als Informatie Analisten, Testers en Release Managers; Soms wensen en eisen afstemmen met de business. Hier ga je werken Onze klant, een internationaal bekend bedrijf dat essentiÃ«le producten maakt waar iedereen graag gebruik van maakt, zoekt versterking in het Software Development team. Samen met 3 developers, een release manager, een informatie analist en 3 testers werk jij aan een systeem waarmee complexe producten

Bekijk vacature »

Jos Brabant

24/05/2016 13:39:38

ik weet niet of jullie mij kunnen helpen, maar ik kan altijd proberen.

ik moet voor school een site maken die kwetsbaar is voor sql injection. als ik op het internet ga kijken vind ik enkel wat sql injection is en hoe je je ertegen moet beschermen. maar daar ben ik weinig mee, php beschermd de site zowizo tegen sql injection.

PHP hulp

28/11/2024 04:15:12

Moderator

Ward van der Put

24/05/2016 13:48:10

>> ik moet voor school een site maken die kwetsbaar is voor sql injection.

Die kwetsbaar is voor SQL-injectie of die juist niet kwetsbaar is?

>> php beschermd de site zowizo tegen sql injection.

PHP doet zelf niets tegen SQL-injectie. Zodra je PHP data rechtstreeks aan een database laat doorgeven, zonder de data te filteren en controleren, is het geheel kwetsbaar voor SQL-injectie. Tenminste, als de database SQL gebruikt.

Begin hier maar eens:

https://www.owasp.org/index.php/SQL_Injection

Koen Hollander

24/05/2016 13:58:22

PHP is oliedom zeg ik altijd maar
Hij doet niks voor je, tenzij je exact zegt hoe hij het moet doen.

Wanneer je een website moet maken die niet beveiligd is tegen SQL Injectie, dan moet je je eerst verdiepen in de term SQL Injectie. Wat is dat nou precies? Wat kan je er mee en wat niet? Als je weet wat het doet kan je je verdiepen in de vraag hoe je een beveiliging tegen SQL Injectie van toepassen op je website. Maar dan weet je ook hoe de website absoluut gevoelig kan maken voor SQL Injectie.

Thomas van den Heuvel

24/05/2016 14:10:03

Quote:

als ik op het internet ga kijken vind ik enkel wat sql injection is en hoe je je ertegen moet beschermen

Dat zijn toch precies de twee dingen die je moet begrijpen om iets te maken wat vatbaar is voor SQL injection:
- weten wat het inhoudt en hoe je dit soort lekken uit kunt buiten, en
- geen (of niet de juiste) veiligheidsmaatregelen treffen om dit te voorkomen

?

En, zoals aangegeven, PHP doet zelf niets aan het voorkomen van SQL injectie. Het doen van zo'n aanname (zelfs als deze waar is) lijkt mij onverstandig. Als het om veiligheid gaat zou er continue waakzaamheid moeten zijn.

Gewijzigd op 24/05/2016 14:23:48 door Thomas van den Heuvel

Jos Brabant

24/05/2016 14:29:14

dus als ik het goed begrijp zou dit moeten werken:

query in code:
"INSERT INTO Songs(Song, Artist) VALUES('" . $_GET['song'] . "', '" . $_GET['artist'] . "')"

in song vul ik gewoon een waarde in. en in artist vul ik dit in:
Stromae'); UPDATE Songs SET Artist = 'lol2' WHERE 1=1

als ik dat rechtstreeks via sql doe werkt dit maar via mijn website doet die dat niet. kunnen jullie mij dan vertellen wat ik fout doe?

Thomas van den Heuvel

24/05/2016 14:32:52

De MySQL-drivers in PHP (MySQL, MySQLi, PDO (edit: of liever gezegd PDO_MYSQL)) staan standaard niet toe dat er meerdere queries achter elkaar worden uitgevoerd (edit: in query() functies; er bestaat wel zoiets als multi_query() waarin dit wel kan maar dat is toch een beetje een handgranaat). Dat zou het beveiligen van queries ook een stuk lastiger maken.

Gewijzigd op 24/05/2016 14:36:05 door Thomas van den Heuvel

Jos Brabant

24/05/2016 14:36:37

enig idee hoe ik dat kan uitzetten? want nu kan je er wel iets mee doen maar niet echt veel.

Beheerder

- Ariën -

24/05/2016 14:59:25

Ik vermoed dat je site magic Quotes aan heeft staan, die sinds PHP 5.4 er (eindelijk!) uitgesloopt zijn.
Welke PHP versie draai je?

L deB

24/05/2016 17:59:28

Als je een kwetsbare site moet maken maak je gewoon een formulier zonder validatie die de gegevens rechtstreeks in een database stopt.

Jos Brabant

24/05/2016 22:19:37

de hostsite draait versie 5.6.18

@L de query van hierboven gaat rechtstreeks de databank in.

Beheerder

- Ariën -

24/05/2016 22:31:36

Voer eens een ' apostrof in, in een onbeveiligde query. Krijg je dan een error van MySQL/PHP? Of komt het gewoon in de database te staan?

Thomas van den Heuvel

24/05/2016 23:10:29

Ik denk niet dat dat echt de insteek is: een site net zo lang misconfigureren totdat alles zo lek is als een mandje. Het zou zinniger zijn (maar nog steeds een beetje raar) om met de default settings iets te creëren wat niet veilig is. Dit doet de docent waarschijnlijk om je bewust te maken van de gevaren, zij het op een wat onorthodoxe wijze.

Je moet het als volgt zien.

Gegeven de volgende query:

Code (php)

SELECT * FROM users

Hier valt niet zoveel aan te hacken. Deze bestaat enkel uit SQL.

Maar, wat nu als je inlogt via een script. Dan zal er wat user DATA in aangebracht moeten worden:

Code (php)

1
2
3

SELECT * FROM users
WHERE user = '<username>'
AND pass = '<password>'

(even er vanuitgaande dat geen encryptie gebruikt wordt voor wachtwoorden).

Je hebt nu zowel SQL code alsmede DATA van een externe bron, bijvoorbeeld <username> en <password> zijn afkomsting uit een formulier ($_POST).

Hoe kun je hier nu SQL injectie op los laten? Eerst moet je weten wat SQL injectie precies is, en wanneer dit mogelijk is. Wanneer je query niet beveiligd is tegen SQL injectie dan is het mogelijk dat DATA wordt geïnterpreteerd als SQL. Hiermee kun je effectief de werking van de query aanpassen.

In de bovenstaande query zou je dus graag in willen kunnen loggen als persoon X zonder dat je weet wat zijn wachtwoord is. Dit zou je als volgt kunnen doen:

Voor de gebruikersnaam <username> vul je de gebruikersnaam in waarmee je wilt inloggen (zeg X). En voor <password> het volgende:

Code (php)

' OR 'a' = 'a

Of equivalent.

De uiteindelijke query wordt dan:

Code (php)

1
2
3

SELECT * FROM users
WHERE user = 'X'
AND pass = '' OR 'a' = 'a'

Hiermee heb je effectief de werking van de query veranderd. SQL injectie geslaagd.

Wat ik niet helemaal snap is dat dit dan precies de opdracht is. Dit vertelt je namelijk niets over hoe je dit kunt voorkomen.

Je voorkomt SQL injectie door uit te sluiten dat DATA die je in je query invoegt geïnterpreteerd kan worden als SQL, oftewel, je moet de DATA die je invoegt ontdoen van enige mogelijke speciale betekenis (binnen SQL). Dit doe je met escaping-functies voor de SQL-context in combinatie met quotes om de te escapen delen. Het een zonder het ander is niet veilig. Zie bijvoorbeeld de real_escape() functie voor MySQLi.

Het strippen van een mogelijk speciale betekenis van DATA binnen een bepaalde context wordt ook wel output escaping genoemd. Dit concept bestaat ook in andere contexten en hier zijn ook functies voor, bijvoorbeeld htmlspecialchars() voor de HTML-context.

Oftewel: SQL injectie is vaak/meestal/altijd? mogelijk door een verkeerde of onvolledige escaping van output (de "externe input" in je query).

Een alternatief is de gebruikmaking van prepared statements, maar als je dat spel niet volgens de regels speelt is dit even vatbaar voor SQL injectie als de variant zonder prepared statement laag.

Gewijzigd op 24/05/2016 23:20:16 door Thomas van den Heuvel

Jos Brabant

25/05/2016 15:55:27

>>>Ik denk niet dat dat echt de insteek is: een site net zo lang misconfigureren totdat alles >>>zo lek is als een mandje. Het zou zinniger zijn (maar nog steeds een beetje raar) om met de >>>default settings iets te creëren wat niet veilig is.

ik vind het even raar als jij, maar ik wil er eigenlijk gewoon door zijn.

ik heb veel bijgeleerd van je uitleg, waarvoor dank :)

Forum berichten

Reacties

PHP scripts

PHP tutorials

Actief op PHPhulp

SQL injection

Jos Brabant

PHP hulp

Ward van der Put

Koen Hollander

Thomas van den Heuvel

Jos Brabant

Thomas van den Heuvel

Jos Brabant

- Ariën -

L deB

Jos Brabant

- Ariën -

Thomas van den Heuvel

Jos Brabant

Over PHPhulp

Support

Gesponsord

Extra's

Privacy