Order by 1 -- ;UnIoN seLeCt 121

klaus_eb715c · 14. November 2019 um 14:15

Hallo Experten,

hoffentlich bin ich hier richtig.

Habe auf meiner Homepage ein paar Downloads im Angebot.

Damit ich überprüfen kann, ob sich überhaupt etwas tut,
speichert ein kleines PHP Script den Download Dateinamen in eine TXT Datei.
Mehr ist da nicht. Es gibt auch keine Datenbank.

Neuerdings erscheinen folgende Einträge.
Statt z.B. ark.zip (die Download Datei)
steht da eingetragen:
ark.zip’ order by 1 – ;UnIoN seLeCt 121
ark.zip’ order by 999 – ;UnIoN seLeCt 121

Wie erwähnt, es ist eine einfache Textdatei, keine Datenbank.

Was bedeutet das?

Klaus

steve_m · 14. November 2019 um 14:15

Hallo,

da versucht jemand eine SQL-Injection:
http://de.wikipedia.org/wiki/SQL-Injection

Gruß,
Steve

klaus_eb715c · 14. November 2019 um 14:15

Hallo Steve,

danke

Ich kenne mich da nicht so genau aus.
Doch wenn keine Datenbank und überhaupt nichts dergleichen
vorhanden ist, dann besteht doch keine Gefahr?
Code in eine Textdatei einschleusen würde doch nicht funktionieren.
Oder?

Gruß
Klaus

steve_m · 14. November 2019 um 14:16

Hallo,

wenn dort keine SQL-Datenbank ist, sondern die Eingabe lediglich in eine Textdatei geschrieben wird, kann nichts passieren.

Gruß,
Steve