cronhack ?

[FLash]

Und wer ordentlich programmiert, hat den absolut identischen Sicherheitsfaktor auch ohne prepared statements,

Ich hab mich noch nie ins vms gehackt, von daher weiss ich auch nicht wie angreifbar es ist.

Ich hab früher immer so programmiert wie es im vms auch üblich ist bis ich einen artikel in der ct zu prepared statesments gefunden hab.

Ich hab im Bigware shop eine funktion gefunden die sonderzeichen ausschliesst gegen Sql Inject, sowas ist im vms nicht vorhanden.

Da stellt sich mir die frage: Was muss ich beachten wenn ich ohne prepared statesments programmiere ?
Eingabefelder vor sonzeichen schützen ?
ich weiss es nicht.

[jpwfour]

Jo bei Eingabefelder etc ist das wieder komplexer, bei Crons spielen aber normalerweise nur 2 GET Parameter eine Rolle, einmal die Cron ID, und einmal das Passwort (gehe jetzt nur vom neuesten VMS aus).

Beide Parameter können nicht zum manipulieren benutzt werden, einzig das Passwort könnte man via Bruteforce Attacke rausfinden

Hauptproblem sind hier Crons (also die PHP Dateien im Unterordner crons) die durch Addons/Interfaces kommen und Lücken aufweisen, aber dazu gibt es hier ja nun reichlich Anleitungen (umbennen, Passwort) um diese nur für den Admin zugänglich zu machen.

Insofern fand ich es halt unpassend, das du behauptest hier im Thread, wo es ja nur um die Crons geht, dass man da mit SQL Injections rumpfuschen könnte, was afaik nicht der Fall ist, man muss die Leute ja nicht unnötig verängstigen