[Sammelthread] Was ging dir heute auf den Keks? (Zusätzliche Threadregeln in Post 1 aktualisiert.)

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja, wenn Vodafone dass so sagt, dann ist das so!
Wird das Datum frei eingeben oder wählt man das aus einem Kalender aus (Datepicker)?

Falls ersters, würde es mich nicht wundern, wenn da ein "Entwickler" dran war, der das Jahr zweistellig erwartet, die Eingabe nicht wirklich validiert wird und überschüssiges einfach ignoriert wird, somit wäre dein eingegebens Datum der 28.02.20 und das liegt in der Vergangenheit. Probier mal 28.02.23.

Falls zweiteres: Epic Fail. ;)

Wenn nicht verfiziert wird, kannst du auch mal probieren, was passiert wenn man "drop database; commit;" eingibt. ;)

Der Jahrtausendwechsel, bei dem jeder gelernt hat das zweistellige Jahreszahlen zumindest so etwa alle 100 Jahre einmal ziemlich unpraktisch werden, ist schon wieder zu lange her. Mittlerweile gibts schon wieder Entwickler, die das nichtmehr miterlebt hatten. :d
 
Zuletzt bearbeitet:
Was könnte dann passieren? :confused:
Dann wird die gesamte (Kunden)Datenbank bei Vodafone gelöscht. :d

Vorrausgesetzt das wird alles nicht auf Validität geprüft und der String stumpf in eine SQL-Abfrage gekippt.
Das nennt sich SQL-Injection.


Der Klassiker, wie im Comic, kurz erklärt:
Anwender gibt Benutzername und Passwort ein.

Daraus wird eine Datenbank abfrage generiert, in die die Benutzereingaben eingesetzt werden:

Code:
SELECT * FROM users WHERE username="Benutzername" AND password="Passwort";

Das ist eine einzelne Abfrage, die durch den Strichpunkt beendet wird.
Wenn da ein Ergebnis zurückkommt gibts den Benutzernamen und das Passwort ist korrekt.

Jetzt muss man noch wissen, das SQL alles was nach einem -- kommt als Kommentar versteht und folglich ignoriert.
Wenn als Benutzername jetzt z.B.
Code:
Robert";--
eingibt, würde die Abfrage so aussehen:
Code:
SELECT * FROM users WHERE username="Robert";--" AND passwort="Passwort";
Nach dem Strichpunkt ist dann Ende und alles nach dem -- wird ignoriert. Es ist trotzdem eine gültige SQL-Abfrage und mit dieser Manipulation muss man nur einen gültigen Benutzernamen kennen und könnte sich ohne Passwort einloggen, weil der Teil der Abfrage der das Passwort prüft ja auskommentiert wurde.

Wenn man jetzt den Benutzernamen so macht:
Code:
Robert"; drop database; commit;--
Wäre die daraus generierte SQL-Abfrage:
Code:
SELECT * FROM users WHERE username="Robert"; drop database; commit;--" AND passwort="Passwort";
Somit wären es drei Abfragen:
Code:
SELECT * FROM users WHERE username="Robert";
Code:
drop database;
Code:
commit;

Die zweite Abfrage löscht die Datenbank, die dritte sorgt dafür, das es auch direkt ausgeführt wird und somit kein Rollback oder so mehr möglich ist.
Was gegebenfalls davor schützt ist, das der Datenbankbenutzer den das Webinterface benutzt keine Rechte für einen "drop database" hat.

Und genau deswegen lernt eigentlich jeder Fachinformatikerazubi im ersten Lehrjahr schon, das man Benutzereingaben nicht ungeprüft und ungefiltert in irgendwelche Datenbankabfragen einsetzt. ;)
Trotzdem gibts Pfuscher, die das vergessen, nicht wissen oder ignorieren.

Hatte ich vor zig Jahren tatsächlich mal so gesehen, als ein Hobbyprogrammierer mal eine Homepage für seinen/meinen Verein gemacht hat.
Der war ziemlich baff, als ich ihm gezeigt habe, wie einfach man sich da ohne Passwort einloggen kann. :d
 
Zuletzt bearbeitet:
Das Wetter kekst mich ja nicht oft, aber aktuell schon.
Irgendwo habe ich gelesen, dass es so eigentlich viele Wochen, wenn nicht Monate weitergehen müsste, damit die Böden wieder komplett durchfeuchtet werden und der Grundwasserspiegel wieder steigt.
 
Zuletzt bearbeitet:
Das stimmt auch; das kann man z.B. an den leeren, kleinen Teichen und Sümpfen sehen, die vor ca. 2 Jahren noch Wasser hatten.
 
Die zweite Abfrage löscht die Datenbank, die dritte sorgt dafür, das es auch direkt ausgeführt wird und somit kein Rollback oder so mehr möglich ist.
Was gegebenfalls davor schützt ist, das der Datenbankbenutzer den das Webinterface benutzt keine Rechte für einen "drop database" hat.

Und genau deswegen lernt eigentlich jeder Fachinformatikerazubi im ersten Lehrjahr schon, das man Benutzereingaben nicht ungeprüft und ungefiltert in irgendwelche Datenbankabfragen einsetzt
Bin kein FiSi und verstehe deshalb maximal sehr bedingt, wovon Du da redest. Viel eher frage ich mich, wieso die Quote noch funktionierender Websites so hoch, respektive die Zahl unbefugter Abbuchungen von meinem Girokonto so niedrig ist. :fresse:
 
Das Wetter könnte aber mal (am Wochenende ) Sonne da sein lassen 😅
Ich habe mittlerweile Vitamin D Tabletten zuhause, weil ich tatsächlich gemerkt habe, dass ich durch die anhaltende Dunkelheit massiv schlecht gelaunt bin.
Die Tabletten helfen, selbst wenn es nur Placebo sein sollte :d
 
@Jbdiver
Hab relativ hoch dosierte Vitamin D Pillchen (20K) , die man nur über Rezept bekommt. Die haben nen richtigen Aufputscheffekt ... zig Stunden hellwach. Ist seit der Verschreibung alle 2 Wochen unser Montags-Booster oder auch vor längeren Autobahnfahrten in den Süden beliebt 😅
 
Verstehe, da kann ich mit meinen 2000 I.E. nicht mithalten, aber es hilft trotzdem :)

So So, dass sind also diese Montag-07 Uhr-Top-Fit Kollegen :d
 
Nach circa einem Jahr mal wieder Sushi bestellt bei dem einzigen Laden, der hier liefert:

- Preise 25-30% höher
- Portionen dazu circa 20-30% kleiner, ein Gericht sogar ca. 50%
- Reis war noch zu fest
- nicht satt
 
bei dem einzigen Laden, der hier liefert:
Problem gefunden :d Wenn Inflationsbedingt teurer gemacht wird, von mir aus. Wenn aber die Qualität abnimmt und Portionen kleiner gemacht werden war es für mich meistens das letzte mal.
 
Problem gefunden :d Wenn Inflationsbedingt teurer gemacht wird, von mir aus. Wenn aber die Qualität abnimmt und Portionen kleiner gemacht werden war es für mich meistens das letzte mal.
+1

Preisanpassungen sind ja normal, aber sie müssen im Rahmen sein und dürfen nicht noch zusätzlich mit deutlicher Verkleinerung der Portionen einhergehen. Die zwei Inari mit Thunfisch kosteten sonst 5€, jetzt sind es 6€ - die beiden Teile sind aber inzwischen nur noch halb so groß.
 
Preisanpassungen sind ja normal, aber sie müssen im Rahmen sein und dürfen nicht noch zusätzlich mit deutlicher Verkleinerung der Portionen einhergehen. Die zwei Inari mit Thunfisch kosteten sonst 5€, jetzt sind es 6€ - die beiden Teile sind aber inzwischen nur noch halb so groß.
Soll da nicht noch was kommen, was das verbietet, bzw, das es fett auf der Verpackung stehen muss?
Also so, wie wenns ne Sondercharge gibt, da steht ja dann auch über die Hälfte der Verpackung riesengroß "20% MEEEEEEEEHR". :d
 
@Jbdiver
Hab relativ hoch dosierte Vitamin D Pillchen (20K) , die man nur über Rezept bekommt. Die haben nen richtigen Aufputscheffekt ... zig Stunden hellwach. Ist seit der Verschreibung alle 2 Wochen unser Montags-Booster oder auch vor längeren Autobahnfahrten in den Süden beliebt 😅

Wusste gar nicht, dass die so krass wirken können. Wie hast du sie bekommen? :P
 
Ganz normal vom Hausarzt. Beim Blutbild war der D3 Wert zu niedrig, daraufhin hat er sie mir verschrieben. Seitdem bekomme ich die Folgerezepte "auf Zuruf" per Post 😁
 
Er sollte auf jeden Fall die Dosis reduzieren.
 
Nix gegen Dich, aber da vertrau ich eher dem Arzt 😎
 
Da ist mein Rundfunkbeitrag, jetzt sehe ich ihn.
1673724375512.png

Schnell aus damit...
 
Die Menge sieht begeistert aus. :)
 
Ja, schnell ein verwackeltes 9:16 Video mit schlechtem Ton machen, welches man sich nie wieder ansieht.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh