mysqli_real_escape_string

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Angular Frontend developer

Bedrijfsomschrijving Yacht is a Dutch recruitment, and consultancy agency. The company was founded on May 19, 2000, as an operating company of Randstad Holding with a focus on highly educated and trained professionals. In addition to the Netherlands, Randstad Holding is active in more than 60 countries worldwide. Yacht is the organization of and for professionals. We connect professionals and organizations that want to make a difference. Our goal is an optimal result: To provide challenging assignments to our professionals. Interested? Then we would like to get to know you better! Functieomschrijving Are you an Angular Frontend developer who is

Bekijk vacature »

Adviseur Informatiemanagement Onderwijs

Ben je gedreven om de ambitie en strategie van jouw klant te realiseren door informatiemanagement naar een hoger niveau te tillen en door benodigde ontwikkelingen in de informatievoorziening inzichtelijk te maken? Heb je affiniteit met onderwijs? Als Adviseur Informatiemanagement Onderwijs zit jij bij Arlande dan op de goede plek! Adviseur Informatiemanagement Onderwijs Als Adviseur Informatiemanagement Onderwijs zet je al jouw kennis en ervaring op het gebied van ICT, architectuur, informatievoorziening en digitalisering in om jouw klant te ondersteunen bij de veranderingen en verbeteringen waar ze voor staan. Je bent niet alleen adviseur, maar speelt ook een rol bij de implementatie

Bekijk vacature »

Oracle APEX developer

Wat je gaat doen: Als Oracle APEX ontwikkelaar bij DPA werk je samen met collega’s aan de meest interessante opdrachten. Je zult je ervaring met SQL, PL/SQL, JavaScript, HTML en CSS inzetten om wensen van opdrachtgevers te vertalen naar technische oplossingen. Je werk is heel afwisselend, omdat DPA zich niet beperkt tot een specifieke branche. Zo ben je de ene keer bezig binnen de zorgsector, de andere keer is dit bij de overheid. Wat we vragen: Klinkt goed? Voor deze functie breng je het volgende mee: Je hebt een hbo- of universitaire opleiding afgerond Je hebt 2 tot 5 jaar

Bekijk vacature »

Front End Developer / React / Vue

Dit ga je doen Meewerken aan de implementaties en ontwikkeling van nieuwe functionaliteiten van de webapplicaties; Ontwikkelen met o.a. React en Vue en HTML/CSS, ook krijg je in verband met de samenwerking ook affiniteit met de backend Ruby on Rails; Ontwikkeling aan de front end voor de koppelingen tussen de diverse systemen; Ontwerpen van interfaces en een bijdrage leveren aan de gebruikerservaring; Zorgdragen voor hoge kwaliteit van code en jezelf (en anderen) blijven verbeteren; Als Senior Front End Developer begeleid je zelf ook FE-development projecten, hierin leid je de projecten en pak jij het initiatief op (bv integratieprojecten). Hier ga

Bekijk vacature »

Full Stack Java Developer

Functieomschrijving Als Senior Java Full Stack Developer binnen ons Client domein maak je directe impact op de dienstverlening van heel Randstad Groep Nederland. Je bent onderdeel van onze interne IT afdeling. Ondanks de domein naam dus geen eindeloze klantopdrachten, maar juist focus op de technische innovatie van onze eigen processen en dienstverlening. Om dit continu te kunnen optimaliseren zitten we middenin een grote transformatie en zijn daarom op zoek naar een tweetal vaste senior developers die ruimte en vrijheid zoeken om hun kennis en ervaring in te zetten. Wat bieden wij? Het nodige vertrouwen en de autonomie om je werk

Bekijk vacature »

Trainee pega developer

Vind jij het leuk om echte business software te maken zonder daarvoor gedetailleerde code te hoeven schrijven? Voor ons hoofdkantoor in Waalwijk zoeken wij een trainee Pega developer voor 36-40 uur per week. Vind jij het leuk om echte business software te maken zonder daarvoor gedetailleerde code te hoeven schrijven? Wij leren je werken met het innovatieve platform van Pega en jij verovert de wereld in elke fase van de digitalisering van ons bedrijf. De Mandemakers Groep, een huis vol mogelijkheden. Je neemt deel aan een geweldig traject. We zijn bezig met de invoering van Customer Service, Sales Automation en

Bekijk vacature »

Delphi Developer

As a Delphi Developer you work together with other development teams to make our back-office applications work as optimal as possible. How do I become a Delphi Developer at Coolblue? You work together with other development teams to make our back-office applications work as optimal as possible, being extending features or migrating them to APIs. Everything to put a smile in our colleagues' faces! Although you are a Delphi Developer, you are not averse to some C#. Would you also like to become a Delphi Developer at Coolblue? Read below if the job suits you. You enjoy doing this Writing

Bekijk vacature »

Oracle Software Developer in de regio Rotterdam

Bedrijfsomschrijving Deze gerenommeerde consultancy organisatie is opzoek naar versterking van een Oracle Ontwikkelaar die over geruime PL/SQL ervaring beschikt. Je gaat hier voor verschillende grote opdrachtgevers in de Randstad aan de slag waarbij uiteraard rekening zal worden gehouden met de reistijd. Daarbij is het bij een de meeste opdrachtgevers niet nodig om 40 uur per week op locatie te werken. Naast het aan de slag zijn bij jou opdrachtgever ben je ook een dag per week met jouw collega`s op kantoor. Je gaat dan met elkaar in gesprek, je proces bespreken en uiteraard is er dan ook ruimte voor een

Bekijk vacature »

Senior Java developer (backend)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Senior developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

.NET Ontwikkelaar

Bedrijfsomschrijving De Belastingdienst is een maatschappelijk relevante en invloedrijke organisatie. Zo gaat er jaarlijks bijvoorbeeld 300 miljard euro aan belastinggeld doorheen en heeft elke Nederlander met deze organisatie te maken. Miljoenen van die Nederlanders communiceren tegenwoordig alleen nog digitaal met de Belastingdienst. Dat stelt hoge eisen aan de betrouwbaarheid en efficiëntie van de ICT-systemen en de informatievoorzieningen. Er ligt dan ook een grote uitdaging om de geoliede machine van de online omgevingen goed draaiende te houden. Een missie waar jij als Software Developer jouw steentje aan bij kan dragen! Werken Bij Yacht: Werken bij YACHT IT betekent dat je jezelf

Bekijk vacature »

Front-End Developer

As a Front-End Developer at Coolblue you improve the user-friendliness of our webshop for millions of customers. How do I become a Front-End Developer at Coolblue? As a Front-End Developer you work on the user-friendliness of our webshop for millions of customers. You enjoy working with the UX Designer to pick up stories. You get energy from coming up with creative solutions and are happy to present these within the team. You also take pride in your work and welcome any feedback. Would you like to become a Front-End Developer at Coolblue? Read below if the job suits you. You

Bekijk vacature »

Adviseur Informatiemanagement Onderwijs

Ben je gedreven om de ambitie en strategie van jouw klant te realiseren door informatiemanagement naar een hoger niveau te tillen en door benodigde ontwikkelingen in de informatievoorziening inzichtelijk te maken? Heb je affiniteit met onderwijs? Als Adviseur Informatiemanagement Onderwijs zit jij bij Arlande dan op de goede plek! Adviseur Informatiemanagement Onderwijs Als Adviseur Informatiemanagement Onderwijs zet je al jouw kennis en ervaring op het gebied van ICT, architectuur, informatievoorziening en digitalisering in om jouw klant te ondersteunen bij de veranderingen en verbeteringen waar ze voor staan. Je bent niet alleen adviseur, maar speelt ook een rol bij de implementatie

Bekijk vacature »

Back-end developer

Dit ga je doen Development d.m.v. XQuery, JSON/XML en REST API's; Ontwikkelen aan een tof en complex zorgplatform; Koppelingen maken met de NoSQL database; Testen en documenteren van de ontwikkelde functionaliteiten; Samenwerking met andere front- en back-end ontwikkelaars. Hier ga je werken Voor een vooruitstrevende organisatie binnen de zorg in Den Haag zijn wij opzoek naar een Back-end Developer die ervaring heeft met o.a.XQuery en Vue.JS of daarin graag zou willen ontwikkelen. Je zal ontwikkelen aan een tof en complex zorgplatform en koppelingen maken met de NoSQL database. Ook het testen en documenteren van de ontwikkelde functionaliteiten behoort tot jouw

Bekijk vacature »

Senior developer (fullstack)

Wat je gaat doen: Of beter nog, wat wil jij doen? Binnen DPA GEOS zijn we dan ook op zoek naar enthousiaste Java developers om ons development team te versterken. Als Java developer werk je in Agile/Scrum teams bij onze klanten en daarbij kun je eventueel ook andere ontwikkelaars begeleiden in het softwareontwikkelproces. Verder draag je positief bij aan de teamgeest binnen een projectteam en je kijkt verder dan je eigen rol. Je gaat software maken voor verschillende opdrachtgevers in jouw regio. Je bent een professional die het IT-vak serieus neemt en kwaliteit levert. Je leert snel vanwege je diepgaande

Bekijk vacature »

Pagina: 1 2 volgende »

Jean Cremers

Jean Cremers

20/08/2021 18:31:50
Quote Anchor link
Is dit safe? Ik dacht van wel maar de site is laatst gehakt, dus even voor de zekerheid.
Bedankt,
Jean

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
$db = opendatabase();
$time = $_POST['time'];
$name = strip_tags(mysqli_real_escape_string($db, $_POST['name']));
$msg = strip_tags(mysqli_real_escape_string($db, $_POST['msg']));
$sql = "INSERT INTO dbname (time, name, msg) VALUES('$time', '$name', '$msg')";
mysqli_query($db, $sql);
 
PHP hulp

PHP hulp

26/09/2022 02:05:32
 
- Ariën  -
Beheerder

- Ariën -

20/08/2021 19:40:50
Quote Anchor link
Als je $time ook even netjes meepakt, dan is het veilig.

En met welke reden wil je strip_tags() gebruiken voordat iets in de database staat?
Het lijkt mij zinvoller om dit op de output uit te voeren. Je wilt je invoer immers NOOIT om zeep helpen. Misschien is htmlspecialchars() nog wel beter, omdat je misschien liever HTML onschadelijk wilt maken.
Gewijzigd op 20/08/2021 19:42:01 door - Ariën -
 
Jean Cremers

Jean Cremers

20/08/2021 19:58:46
Quote Anchor link
- Ariën - op 20/08/2021 19:40:50:
Als je $time ook even netjes meepakt, dan is het veilig.


Hartstikke mooi. Thanks. $time is geen user input, dat is gewoon een timestamp, dus dat is niet nodig denk ik?

Quote:
En met welke reden wil je strip_tags() gebruiken voordat iets in de database staat?


Goeie vraag, is code van een paar jaar geleden en ik ben het vergeten. :) Blijkbaar tijdens testen destijds gedaan. Maar als het geen kwaad kan...
Gewijzigd op 20/08/2021 20:02:05 door Jean Cremers
 
- Ariën  -
Beheerder

- Ariën -

20/08/2021 20:00:08
Quote Anchor link
Doe dat dan liever op de uitvoer, waar je de gegevens toont. ;-)

Toevoeging op 20/08/2021 20:01:57:

Maar de vraag is: Wat gebeurde er met de hackpoging?
Het kan ook aan tal van andere zaken liggen.
 
Jean Cremers

Jean Cremers

20/08/2021 20:07:27
Quote Anchor link
Ook goeie vraag, ik weet het niet. Ik had ineens heel public_html leeg, alleen een index.html met Hacked By UNRBL en of ik wel binnen 24 uur 0.2 bitcoin wilde overmaken, anders zou mn site op het dark web geplaatst worden.
In een half uurtje had ik de boel weer aan de praat dus dat viel nog wel mee, alleen heb ik geen idee hoe hem dat gelukt is. Ik heb passwords veranderd natuurlijk. Ik was wel aan het experimenteren met dbeaver, sqylyog en heidisql, daar zou nog malware in kunnen hebben gezeten maar ook vrij onwaarschijnlijk. Dit is de enige plek waar een user data kan invoeren, behalve dan nog de laatste versie van smf forum.
 
- Ariën  -
Beheerder

- Ariën -

20/08/2021 20:13:19
Quote Anchor link
Ik zou de logs een gaan checken. Grote kans dat je een upload-exploit hebt, en misschien is er nog een shell achtergebleven waarmee ze toegang kunnen krijgen.
Gewijzigd op 20/08/2021 20:14:18 door - Ariën -
 
Jean Cremers

Jean Cremers

20/08/2021 20:45:11
Quote Anchor link
Wil je eens kijken? Dit is de log van vlak voor de deface. Ik verdenk onderaan die 41.107.56.61, alleen zie geen bestand wat hem verder heeft kunnen helpen, ik heb geen wordpress etc allemaal, die dingen zette ik toen ik nog een thuisserver had in fail2ban, maar ik heb in die lijst geen bestanden gevonden behalve upload.php en dat was een testbestandje met niks erin.
http://jcremers.com/access_log_jcremers.com.txt
Gewijzigd op 20/08/2021 21:00:27 door Jean Cremers
 
- Ariën  -
Beheerder

- Ariën -

20/08/2021 22:19:20
Quote Anchor link
Lijkt mij enkel een exploit-zoek botje. Stuit enkel op 404's.

Zoek je scripts maar eens goed na voor de zekerheid. Heb je ook uploadscripts op je site?
Gewijzigd op 20/08/2021 22:19:58 door - Ariën -
 
Rob Doemaarwat

Rob Doemaarwat

20/08/2021 22:22:29
Quote Anchor link
Jean Cremers op 20/08/2021 19:58:46:
- Ariën - op 20/08/2021 19:40:50:
Als je $time ook even netjes meepakt, dan is het veilig.


Hartstikke mooi. Thanks. $time is geen user input, dat is gewoon een timestamp, dus dat is niet nodig denk ik?

Maar $time komt wel uit de $_POST, dus dan kan de user er mee "klooien" - een normale user zal dat niet doen, maar een hacker is geen normale user ...

Als het echt een timestamp is kun je ook gewoon time() gebruiken, of je moet bijvoorbeeld controleren of het formaat wel klopt (is het integer, of bijvoorbeeld formaat yyyy-mm-dd).
Gewijzigd op 20/08/2021 22:22:47 door Rob Doemaarwat
 
Jean Cremers

Jean Cremers

21/08/2021 07:08:36
Quote Anchor link
@Ariën Het smf forum laat uploaden van attachements en avatars toe, dat heb ik nu uitgezet.
@Rob, thanks, duidelijk, ik heb het aangepast.

Om public_html te wissen heb je ftp of cpanel toegang nodig toch? Dat krijg je toch niet met sql injectie? Hoe dan wel?
Gewijzigd op 21/08/2021 14:39:49 door Jean Cremers
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 14:41:43
Quote Anchor link
Tja, ik vermoed dat er ergens een upload-exploit is, of geweest is. Check daarom je logs.
 
Jean Cremers

Jean Cremers

21/08/2021 14:52:10
Quote Anchor link
een andere log dan access.log bedoel je?

Toevoeging op 21/08/2021 14:52:31:

en waar moet ik op letten?
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 15:00:14
Quote Anchor link
De access_log. Kijk naar vreemde bestanden die zijn aangeroepen met een 200 http-code.

Logs van FTP-acties en logins kan je ook meenemen in je onderzoek.
Gewijzigd op 21/08/2021 15:02:37 door - Ariën -
 
Jean Cremers

Jean Cremers

21/08/2021 16:38:21
Quote Anchor link
Ik kan niet bij mn logs, ik had de pass van cpanel verandert en nu krijg ik errors als ik wil downloaden, dus maar even wachten.
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 16:43:27
Quote Anchor link
Wat voor error?
 
Jean Cremers

Jean Cremers

21/08/2021 16:49:46
Quote Anchor link
HTTP error 401
Invalid Security Token
The requested URL does not contain your session’s correct security token.

You may have reached this error by copying and pasting a URL from a different cPanel, WHM, or Webmail session into your browser’s address bar. To resolve this situation, please take one of the following steps:

Go back one page and reload the URL, making sure that the /cpsess … / section of the URL remains the same.
Re-enter your account’s password below. This will assign your session a new security token. This new token will prevent you from using other pages of this application that may be open in other tabs.
Request information
Requested page: 404.shtml
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 17:46:05
Quote Anchor link
Staat er gewoon .. ;-)
 
Jean Cremers

Jean Cremers

21/08/2021 17:49:18
Quote Anchor link
wat bedoel je? Ik krijg die logs niet gedownload, cookies weggegooid etc.
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 18:19:55
Quote Anchor link
Quote:
Go back one page and reload the URL, making sure that the /cpsess … / section of the URL remains the same.
Re-enter your account’s password below. This will assign your session a new security token. This new token will prevent you from using other pages of this application that may be open in other tabs.


Even refreshen in je cPanel, opnieuw inloggen en je kan weer verder gaan.
En anders kan je even een nieuw vers browser-scherm openen.
 
Jean Cremers

Jean Cremers

21/08/2021 18:43:25
Quote Anchor link
dat heb ik al een paar keer gedaan, cookies weggegooid, andere browser, ik kan alles doen in cpanel behalve die logs downloaden.
 
- Ariën  -
Beheerder

- Ariën -

21/08/2021 18:49:30
Quote Anchor link
Probeer eens een privé-tabblad. En anders even bij de hosting vragen hoe dit zit.
Logs zou je altijd moeten kunnen downloaden.
 

Pagina: 1 2 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.