Ragazzi questa è una SQL INJECTION?!

Salve ragazzi, volevo sapere se questo errore poteva rivelarsi una sql injection..


Errore:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '''' LIMIT 1' at line 1


Fatemi sapere :)

Ciao,
per caso usi Joomla?in un bell'articolo dice,che anche se restituisce salvataggio fallito le modifiche in realtà sono salvate in quel db,però questo errore è veramente strano.Se usi Joomla e hai installato il Plugin nativo "Content - Motore di ricerca",disabilitandolo risolvi?perchè può essere un'errore 500 di notifica errore salvataggio.Per caso,se usi Joomla,hai effettuato l'aggiornamento automatico?Per aggiornare da una versione all'altra,devi usare Extension Manager caricando il pacchetto intero.
L'articolo dice,come far rifunzionare Joomla?disabilita il plugin "Content - Motore di ricerca" che impedisce la creazione/salvataggio,anche dei moduli.
Svuota direttamente da db tutti i record delle tabelle:
#__finder_links_terms1
#__finder_links_terms2
#__finder_links_terms3
#__finder_links_terms4
#__finder_links_terms5
#__finder_links_terms6
#__finder_links_terms7
#__finder_links_terms8
#__finder_links_terms9
#__finder_links_termsa
#__finder_links_termsb
#__finder_links_termsc
#__finder_links_termsd
#__finder_links_termse
#__finder_links_termsf
poi disabilita anche il componente "Chronoforms" (se l'hai installato e se usi Joomla) che blocca la reindicizzazione.
Elimina tutta la lista dei link indicizzati ed effettua il reindex (Indice).
Riabilita il componente "Chronoforms" (se l'hai installato e se usi Joomla).
Abilita il plugin "Content - Motore di ricerca".
N.B. se vuoi effettuare un reindex completo ricordati che "Chronoforms" va in conflitto con Joomla.Ciao

Edit:
Se cerchi un'articolo su questa notifica di errore salvataggio troverai solo che è un'errore in Joomla.Se non usi Joomla spiegati meglio.Ciao

Ciao innanzitutto grazie per la risposta, ma non credo sia un errore 500 e comunque uso MYSQL Server, IIS + PHP (Chiaramente)
Ho un "game" online dove sono salvati tutti gli utenti appunto nel database e i loro rispettivi dati di gioco.
Però quando voglio creare un "gruppo" tramite la home del mio CMS, se inserisco l'apice riporta appunto quell'errore e molti dicono che è una SQL Injection e possono risalire al nome e passoword del mio database.. Se è così, come si sfrutta questo "BUG"?

Ciao,
per cms intendi Joomla?
attenzione,leggi bene,quell'errore di salvataggio fallito è di Joomla anche se in realtà le modifiche sono salvate in quel db,MYSQL Server, IIS + PHP non centra niente.Se usi Joomla e il server insieme prima di creare un gruppo tramite la home del CMS,segui quello che ce scritto nel post precedente se no e logico che possono risalire al nome e passoword del tuo database.Un'altra cosa,riguardo MYSQL Server, IIS + PHP,per caso hai fatto un'aggiornamento massivo sulle tabelle,nello specifico quelle MYSQL?per esempio con i campi: ID, Nome, Matricola, ecc...?perchè l'articolo dice che possono essere anche le tabelle,perché in questo modo non ti lascia creare gruppi inserendo l'apice,con la scritta di errore,inoltre hai provato a dire che cancellino cronologia cache e cookie?.Ciao

Ciao,
per cms intendi Joomla?
attenzione,leggi bene,quell'errore di salvataggio fallito è di Joomla anche se in realtà le modifiche sono salvate in quel db,MYSQL Server, IIS + PHP non centra niente.Se usi Joomla e il server insieme prima di creare un gruppo tramite la home del CMS,segui quello che ce scritto nel post precedente se no e logico che possono risalire al nome e passoword del tuo database.Un'altra cosa,riguardo MYSQL Server, IIS + PHP,per caso hai fatto un'aggiornamento massivo sulle tabelle,nello specifico quelle MYSQL?per esempio con i campi: ID, Nome, Matricola, ecc...?perchè l'articolo dice che possono essere anche le tabelle,perché in questo modo non ti lascia creare gruppi inserendo l'apice,con la scritta di errore,inoltre hai provato a dire che cancellino cronologia cache e cookie?.Ciao

Ciao innanzitutto posso dirti che ho risolto modificando queste due stringhe:

$group_name = trim($_POST['name']);
$group_desc = trim($_POST['description']);

Modificate in :

$group_name = FilterText($_POST['name']);
$group_desc = FilterText($_POST['description']);

Modificando così ora mi fa creare gruppo anche con apici, senza nessun errore!
Ora vorrei capire una cosa, come si sfrutta quell'errore nel caso lo trovi di nuovo? Come risalgo alla pass e nome root?

[alemoppo]

http://it.wikipedia.org/wiki/SQL_injection

Ciao!

Ciao,
quindi l'errore era in quelle stringhe,nome e descrizione,bene.Se hai risolto modificando quelle stringhe l'errore non dovrebbe esserci più.Invece per risalire a password nome root,verifica se nel lato pubblico di quel sito sia visibile il modulo di Login,prova il link Password dimenticata,dal quale accedere alla procedura guidata per il recupero della password o del nome oppure se ce l'opzione,per l'email.Oppure collegati al quel sito via ftp e recupera i dati di accesso al db direttamente dal file configuration.php aprendolo con un normale blocco note. Il file si trova nella cartella principale, la root di quel sito, che potrebbe chiamarsi, sul tuo server, www, public_html oppure htdocs,ora hai trovato username e password del database (sono contenute tra gli apici dopo il segno uguale).
Con questi dati ti puoi collegare al pannello phpmyadmin di quel sito (non so dove si trova il pannello phpmyadmin solo tu lo sai).
In quest'ultimo caso fai attenzione, il provider considera il database una cosa separata dal sito (è stupido, lo so) e spesso molti utenti che rinnovano il sito per esempio non rinnovano il db con la conseguenza che il sito web da un momento all'altro smette di funzionare completamente.
Il pannello di controllo del sito si può trovare in diverse posizioni tra cui ad esempio:
http://cp.tuosito.altervista.org
http://www.tuosito.altervista/cpanel(se usi coime detto Joomla)
Una cosa,visto che sanno nome e password del database,reimposta subito i dati.
Se vuoi bloccare alcuni indirizzi ip di alcuni utenti del sito,perché non trovino i nuovi dati del database,puoi andare nel campo block di quel sito e scrivere 1 al posto dello 0 che dovrebbe esserci (altrimenti quell'utente è già bloccato).
per il database MYSQL:
Il database MySQL è formato da un certo numero di programmi. Fra questi, il principale è naturalmente mysqld,cioè il server vero e proprio,giusto?ci sono poi alcuni script di avvio del server e infine ci sono i programmi client come mysql che è il vero e proprio client di database, nonché mysqladmin,ecc..,poi ci sono anche programmi di utilità che lavorano indipendentemente dal server.
Le stringhe che ti servono sono:
public $db = 'questo è il nome del db';
public $user = 'questo è il nome utente del db';
public $password = 'questa è la sua password';
In MYSQL quando le opzioni prevedono un valore, questo viene espresso di seguito al nome dell'opzione stessa: per i nomi lunghi abbiamo un segno = che divide il nome dal valore, mentre per i nomi brevi il valore segue il nome, attaccato o inframmezzato da uno spazio. L'eccezione è per le password, che si possono non specificare immediatamente (verranno poi chieste dal prompt del programma, in modo che la password digitata non venga visualizzata a video), mentre se si sceglie di farlo è necessario digitarla attaccata al nome dell'opzione.
Versioni lunghe:
--host=localhost --user=root --password=xxx
Versioni brevi:
-hlocalhost -uroot -pxxx
oppure
-h localhost -u root -pxxx
Come detto, la password va indicata necessariamente senza spazio nella versione breve. L'alternativa è limitarsi ad indicare l'opzione; in questo modo sarà il programma a chiedere di introdurla senza visualizzarla. Ecco un esempio di connessione al client mysql:
shell>mysql -h localhost -u root -p
Enter password: ******
Alcune opzioni funzionano "ad interruttore" e possono essere disabilitate o abilitate così:
Abilitazione:
--opzione
--enable-opzione
--opzione=1
Disabilitazione:
--disable-opzione
--skip-opzione
--opzione=0
È consentito anteporre il prefisso --loose ad una opzione: in questo caso il programma non si bloccherà (si limiterà ad emettere un warning) se non la riconosce.
Domanda,che sistema usi,Windows o Linux?ciao

Ciao,
quindi l'errore era in quelle stringhe,nome e descrizione,bene.Se hai risolto modificando quelle stringhe l'errore non dovrebbe esserci più.Invece per risalire a password nome root,verifica se nel lato pubblico di quel sito sia visibile il modulo di Login,prova il link Password dimenticata,dal quale accedere alla procedura guidata per il recupero della password o del nome oppure se ce l'opzione,per l'email.Oppure collegati al quel sito via ftp e recupera i dati di accesso al db direttamente dal file configuration.php aprendolo con un normale blocco note. Il file si trova nella cartella principale, la root di quel sito, che potrebbe chiamarsi, sul tuo server, www, public_html oppure htdocs,ora hai trovato username e password del database (sono contenute tra gli apici dopo il segno uguale).
Con questi dati ti puoi collegare al pannello phpmyadmin di quel sito (non so dove si trova il pannello phpmyadmin solo tu lo sai).
In quest'ultimo caso fai attenzione, il provider considera il database una cosa separata dal sito (è stupido, lo so) e spesso molti utenti che rinnovano il sito per esempio non rinnovano il db con la conseguenza che il sito web da un momento all'altro smette di funzionare completamente.
Il pannello di controllo del sito si può trovare in diverse posizioni tra cui ad esempio:
http://cp.tuosito.altervista.org
http://www.tuosito.altervista/cpanel(se usi coime detto Joomla)
Una cosa,visto che sanno nome e password del database,reimposta subito i dati.
Se vuoi bloccare alcuni indirizzi ip di alcuni utenti del sito,perché non trovino i nuovi dati del database,puoi andare nel campo block di quel sito e scrivere 1 al posto dello 0 che dovrebbe esserci (altrimenti quell'utente è già bloccato).
per il database MYSQL:
Il database MySQL è formato da un certo numero di programmi. Fra questi, il principale è naturalmente mysqld,cioè il server vero e proprio,giusto?ci sono poi alcuni script di avvio del server e infine ci sono i programmi client come mysql che è il vero e proprio client di database, nonché mysqladmin,ecc..,poi ci sono anche programmi di utilità che lavorano indipendentemente dal server.
Le stringhe che ti servono sono:
public $db = 'questo è il nome del db';
public $user = 'questo è il nome utente del db';
public $password = 'questa è la sua password';
In MYSQL quando le opzioni prevedono un valore, questo viene espresso di seguito al nome dell'opzione stessa: per i nomi lunghi abbiamo un segno = che divide il nome dal valore, mentre per i nomi brevi il valore segue il nome, attaccato o inframmezzato da uno spazio. L'eccezione è per le password, che si possono non specificare immediatamente (verranno poi chieste dal prompt del programma, in modo che la password digitata non venga visualizzata a video), mentre se si sceglie di farlo è necessario digitarla attaccata al nome dell'opzione.
Versioni lunghe:
--host=localhost --user=root --password=xxx
Versioni brevi:
-hlocalhost -uroot -pxxx
oppure
-h localhost -u root -pxxx
Come detto, la password va indicata necessariamente senza spazio nella versione breve. L'alternativa è limitarsi ad indicare l'opzione; in questo modo sarà il programma a chiedere di introdurla senza visualizzarla. Ecco un esempio di connessione al client mysql:
shell>mysql -h localhost -u root -p
Enter password: ******
Alcune opzioni funzionano "ad interruttore" e possono essere disabilitate o abilitate così:
Abilitazione:
--opzione
--enable-opzione
--opzione=1
Disabilitazione:
--disable-opzione
--skip-opzione
--opzione=0
È consentito anteporre il prefisso --loose ad una opzione: in questo caso il programma non si bloccherà (si limiterà ad emettere un warning) se non la riconosce.
Domanda,che sistema usi,Windows o Linux?ciao

Sapevo tutto ciò, volevo semplicemente sapere se potevo "recuperare" password e nome root di un phpmyadmin di un altro sito, quindi non mio. Ma ho risolto, grazie a tutti.

Per curiosità questo server è installato in Windows o in Linux?
Lieto di esserti stato utile in qualche modo comunque.

Per curiosità questo server è installato in Windows o in Linux?
Lieto di esserti stato utile in qualche modo comunque.

Sopra un VPS Windows.

Ciao,
Non mi parlare di Windows per carità,che io uso solo il mac,per il fatto che ho tentato di mettere linux Opensuse in un computer non mio con Windows lento,poi non è più partito il computer,questa persona si è presa il computer ed è andata da un tecnico.
Se vuoi leggere il post e in Linux cafè.Ciao

Ciao,
Non mi parlare di Windows per carità,che io uso solo il mac,per il fatto che ho tentato di mettere linux Opensuse in un computer non mio con Windows lento,poi non è più partito il computer,questa persona si è presa il computer ed è andata da un tecnico.
Se vuoi leggere il post e in Linux cafè.Ciao

va bene, grazie.

Non ho detto che non puoi parlare di Windows,sia chiaro,dico solo che se mi dici di usare per esempio quel server con Windows,ti rispondo che e meglio che chiedi a un'esperto di Windows,diversamente con il mac che so usare.
Lieto pero di esserti stato utile lo stesso.
Ciao