SQL-Injections - Harry Fuecks

Gute Zusammenfassung zu SQL-Injections vom PHP-Crack Harry Fuecks:

let Harry talk

©copyrighted material php-boutique.de
März 18, 2005 | Kategorie Allgemein | Kommentieren  

md5-cracking

Ein Forenuser berichtet:

Nur mal ein kleiner Nachtrag, auch wenn es jetzt vom Fehler der Neuberechnung einer geänderten Order etwas abgeschweift ist zum Thema Paßwortschutz:

1. MD5 ist KEIN Verschlüsselungsalgo, sondern ein Prüfsummenalgo
2. Ein Verschlüsselungsalgo ist IMMER umkehrbar (nur eine Frage der Zeit)
3. Hier kann man sich eine Tabelle mit allen möglichen PW’s und den dazugehörigen Hash’s besorgen:
Einfach den Hash der DB suchen und schon findet man das zugehörige PW
http://passcracking.com/
Die Tabelle wird laufend ausgebaut.

4. Oder man nimmt John the Ripper. Bei PW’s mit maximal 8 Stellen ist das in 2 Tagen durch. Programm gibt es kostenlos unter http://www.buha.info Doku gibt es unter http://www.buha.info/board/archive/index.p…hp/t-21605.html

Weiterführende Lektüre:
http://de.wikipedia.org/wiki/MD5

…die md5 DB gefällt mir gut - leider findet die keinen meiner md5() Standardpasswörter. Wäre ein schönes Projekt, eine md5 - DB dito SETI aufzubauen. Also die Generierung der Schlüssel+Hashs auf clients zu verteilen.

©copyrighted material php-boutique.de
März 14, 2005 | Kategorie Allgemein | Kommentieren  

HEUREKA !

Heureka, alea iacta est… es ist vollbracht!

Die extreme Performancesteigerung für xt:Commerce ist gelungen! Seitenaufbau auf Teststerver um ca. das 5fache beschleunigt. Durch konsequenten Einbau der geänderten Algorithmen - die bislang nur an den xt-Flaschenhälsen arbeiten - sollte noch eine weitere spürbare Geschwindigkeitssteigerung möglich sein.

©copyrighted material php-boutique.de
März 13, 2005 | Kategorie Allgemein | Kommentieren  

backend ausgesperrt

=>phpMySQLAdmin starten
=>folgende SQLs in der genannten Reihenfolge absetzten,nach jedem SQL-Kommando checken, ob Du wieder rein kommst

[CODE]UPDATE configuration SET configuration_value=’false’ WHERE configuration_key=’SESSION_CHECK_USER_AGENT’;[/CODE]

[CODE]UPDATE configuration SET configuration_value=’false’ WHERE configuration_key=’SESSION_CHECK_SSL_SESSION_ID’;[/CODE]

[CODE]UPDATE configuration SET configuration_value=’false’ WHERE configuration_key=’SESSION_CHECK_IP_ADDRESS’;[/CODE]

[CODE]UPDATE configuration SET configuration_value=’false’ WHERE configuration_key=’SESSION_RECREATE”;[/CODE]

©copyrighted material php-boutique.de
März 11, 2005 | Kategorie Allgemein | Kommentieren  

PHP::is_dir() - is_file() - is_link() spielen verrückt

Seit heute läut ohne jede Änderung von meiner Seite eine Bildgalerie nicht mehr - der Fehler ist schnell isoliert: eine is_dir() Abfrage erkennt existierende Vereichnisse mehr, auch nach clearstatcache(); bleibt das Problem bestehen.

Einziger Anhaltspunkt auf php.net:

If filename is a relative filename, it will be checked relative to the
current working directory

Spasseshalber habe ich mit absoluten Pfaden gearbeitet - und voila! Alles läuft wieder nach Wunsch.

=> unbedingt absolute FileSystem-Pfade verwenden!

©copyrighted material php-boutique.de
März 4, 2005 | Kategorie Allgemein | Kommentieren  

PHP Code Enryption

http://www.sitepoint.com/blog-post-view.php?id=238739

©copyrighted material php-boutique.de
März 4, 2005 | Kategorie Allgemein | Kommentieren  

xt:Commerce :: ausgesperrt

Hallo zusammen ,ich muß leider meine Dummheit beklagen, denn ich habe das
Passwort und auch denlogin Namen vergessen!!!Kann mir bitte jemand sagen , wie
ich und was ich wo eintragen muß , um in den Shopadmin zu gelangen? Ich habe mal
was gelesen vonwegen, es wäre Möglich den erst bez.alles auf Anfang zu stellen.
Wenn das so ist was muß ich denn dann machen . Bin etwas durch den Wind und
würde mich echt freuen eine Hilfestellung zu bekommen.

Entweder neues Passwort beantragen oder falls Du den Shop lokal installiert hast und aus welchen Gründen auch immer kein Mails versenden kannst:

=> phpMyAdmin
=> Shop-Database selektieren
=> DB-Tabelle “customers”
=> suche nach Deiner Email-Adresse in der Tabellenspalte “customers_email_adress” (im Normalfall ist das customers_id 1)
=> jetzt das “customers_password” ersetzen durch “dd6b105ca491f4d95a66bc2fa1815e82″

Danach mit der in der DB gefunden email einloggen. Das Passwort ist “christoph”

©copyrighted material php-boutique.de
März 4, 2005 | Kategorie Allgemein | Kommentieren  

MySQL::REPLACE-Funktion

hallo, ich habe ein paar falsche links in der products_description (content zum
artikel), die ich jetzt direkt in der datenbank korrigieren möchte, da es nicht
wenige sind. per phpmyadmin finde ich u.st. link (…coID=9), aber mit u.st.
sql-befehl sagt er mir immer “0 datensätze ersetzt”. verstehe ich nicht, was
muss ich an diesem sql-befehl anpassen?

Ja, Suchen & Ersetzen geht sehr schön mit MySQL - wenn man mit MySQL-Funktionen umzugehen weiß. Schönes Beispiel: Suchen & Ersetzen über TEXT-Felder

UPDATE products_description SET
products_description=REPLACE(products_description,’/shop_content.php?coID=7′,’/shop_content.php?coID=9′)
WHERE products_description like ‘%/shop_content.php?ID=7%’;

Das WHERE-Statement ist optional.

©copyrighted material php-boutique.de
März 1, 2005 | Kategorie Allgemein | Kommentieren