[ SQL ] Artikel: About Security (#11): SQL-Injection - Seite 2

Guradia · 24.08.2005, 16:52

Ich kümmere mich um einiges neuerdings nicht mehr:

PHP-Code:

  <?php
        $Sql = "INSERT INTO foo ( bar ) VALUES ( :bar )";
        $Stmt = $Pdo->prepare($Sql);
        $Stmt->bindParam(':LimitStart', $_GET['bar'], PDO_PARAM_STR);
        $Stmt->execute();
?>

PDO macht das hübsch allein ...

Ben · 24.08.2005, 16:54

Wie arbeitet PDO denn intern? Haste da gerade mal einen direkten Link parat?

Du-weisst-schon-wer · 30.10.2005, 18:39

PDO übergibt der Datenbank die Query erst kompelett ohne Eingabewerte bzw. nur die du in der Rohfassung an das DBMS weitergibst. Danach werden durch BindParam die Werte übermittelt und in der Datenbank in der Query "eingesetzt" hier kann allerdings nichts passieren, denn das DBMS hat die Query quasi vorkompiliert.

Öhm Guradia:
Warum benutzt du bei bindParam :LimitStart? ist das irgendwie ein Sonderplatzhalter? weil oben nimmst du :Bar?!

02.11.2005, 11:36

PHP-Code:

  public function escapeString(&$string) {
    $string = preg_replace("~[^a-z0-9]~i","",$string);
    $string = addslashes($string);
        
    return $string;
}

In meiner database klasse meines CMS habe ich diese Methode geschrieben. Zuerst werden alle ungültigen Zeichen entfernt. d.h. es gelten nur Zahlen und Buchstaben.

Sollte der string dann auch noch zeichen wie \x01 oder \n oder so enthalten werden diese durch addslashes escaped zu \\x01 und \\n und somit besteht keine Gefahr mehr.

-- Fat Tony

Ben · 02.11.2005, 12:33

Was ist denn, wenn du jetzt ein Fragezeichen im Text hast?

05.11.2005, 13:09

Diese Funktion habe ich nur für ein Login geschrieben. Ansonsten kann man sie ja auch so schreiben

PHP-Code:

      public function escapeString(&$string,$spChars = true) {

        // If special chars are no allowed

        if (!$spChars) {

            $string = preg_replace("~[^a-z0-9]~i","",$string);

        }

        

        $string = mysqli_real_escape_string($this->db,$string);

        

        return $string;

    }

Ben · 09.11.2005, 13:43

Eventuell interessanter Thread dazu:

http://forum.developers-guide.net/showthread.php?t=535

Doggi · 20.12.2005, 15:53

Zitat:

Zitat von Buhmann

Zitat:

Zitat von Jann Hendrik

ok. Dann lasst uns doch mal an einer Sicherheits-Funktion arbeiten.

ich nutze derzeit:

PHP-Code:

  <?php
  function mysql_secure($text)
  {
    $text = htmlspecialchars($text);
    $text = mysql_escape_string($text);

    if(!get_magic_quotes_gpc())
      $text = addslashes($text);      // Ausgabe dann mit  stripslashes()

    RETURN $text;
  }

$pot_unsicher = "abc";
$sicher = mysql_secure($pot_unsicher);

?>

hm ich kenne diese version:

PHP-Code:

  <?php

// Quote variable to make safe
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
       $value = stripslashes($value);
   }
   // Quote if not integer
   if (!is_numeric($value)) {
       $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}
?>

man müsste mal beide versionen testen um herauszufinden, welche nun richtig ist..

diese version scheint nicht zu funktionieren. ich habs probiert und bekomme zwischen den ' ' Zeichen NICHTS. es wird einfach gelöscht, was als value mal übergeben wurde und die beiden ' ' am anfang und am ende bleiben. übrigens funktioniert die erste variante auch irgendwie nicht. bin grad ziemlich gefrustet und bleibe wohl bei meiner alten, unsicheren variante, die wenigstens funktioniert.

Lars · 20.12.2005, 16:18

Dann machst du was flasch. Zeig mal her, was du machst.

Doggi · 20.12.2005, 16:23

hab alles über den haufen geworfen und anders gemacht. müsste es wieder so zusammenstellen, wie es war. mach ich aber erst morgen (gleich feierabend :) )

Lars · 20.12.2005, 16:25

PHP-Code:

  $string = addslashes($string);

Das kannst du dir schenken. Was soll den escaped werden, wenn nur noch Zahlen und Buchstaben im String sind?

Doggi · 20.12.2005, 16:38

so habs rekonstruiert.

also, reihenfolge der abarbeitung der dateien ist folgende:

index.php (formular)
session.php (prüfen und bearbeiten der formulardaten)
zugriff.php (eintragen in die db)
danke.php (exit)

die index übergibt also die fomulardaten an die session.

als function hab ich mal deine genommen

PHP-Code:

   function mysql_secure($text)

  {

    $text = htmlspecialchars($text);

    $text = mysql_escape_string($text);

 
        if(!get_magic_quotes_gpc())

      $text = addslashes($text);      // Ausgabe dann mit  stripslashes()

 
    return $text;

  }

in der session.php hab ich ein include der function.php

dann hab ich in der session.php folgendes:

PHP-Code:

  $_POST['vorname']    = mysql_secure($_POST['vorname']);

dazu ist es doch gedacht oder? leider bleibt in diesem fall die session.php weiß, ohne ausgabe von irgendwas.

Zitat:

$string = addslashes($string);

hab ich in der zugriff.php damit die \ und ' auch escaped in die db eingetragen werden. wenn nur zahlen und buchstaben übrig sind, passiert nichts.

J33d3X · 20.12.2005, 16:47

sag mir mal bitte was du bezweckst mit

$var = mysql_escape_string("hallö'chen");

echo $var;

und gleich danach :

if(!get_magic_quotes_gpc())
$var = addslashes("hallö'chen");

lass dir das mal duch den Kopf gehen .....

Lars · 20.12.2005, 17:57

Zitat:

Zitat von J33d3X

if(!get_magic_quotes_gpc())
$var = addslashes("hallö'chen");

Eigentlich geht es darum, alle Escape-Backspaces vor dem Aufruf von mysql_real_escape_string() zu entfernen, damit man nur den reinen Input escaped.

J33d3X · 20.12.2005, 19:19

wenn es denn so ist ...
was macht die funktion für einen Sinn ???

Zitat:

function mysql_secure($text)
{
$text = htmlspecialchars($text);
$text = mysql_escape_string($text);

if(!get_magic_quotes_gpc())
$text = addslashes($text); // Ausgabe dann mit stripslashes()

return $text;
}

nachdem was du sagst

Zitat:

Eigentlich geht es darum, alle Escape-Backspaces vor dem Aufruf von mysql_real_escape_string() zu entfernen, damit man nur den reinen Input escaped.

kann die funkktion nie vor einem insert stattfinden ( wo wäre denn da der reine input )
aber:
nach dem select ( also im output ) ist sie "so wie sie dasteht" genauso sinnbefreit
da erst ein escapen mit mysql_escape_string erfolgt ... dann eine abfrage ob
get_magic_quotes_gpc und nochmal escapen per addslashes

a ) performancelastig
b ) sinnbefreit

falls ich nicht etwas gravierendes übersehe

mfg

Lars · 20.12.2005, 20:29

Erklär mir mal bitte, was du an meinem Post auszusetzen hast. Ich steig da grade nicht so durch

J33d3X · 20.12.2005, 20:36

ich habe an deinem post nichts auszusetzen da es deutlich ist

ich will lediglich darauf hinweisen das die besagte funktion es wert ist
genauer hinzuschauen/überdenken da sie in meinen augen durch den zusatz
if(!get_magic_quotes_gpc())
$text = addslashes($text);

über das eigentliche ziel hinausschiesst, da vorher schon bedingungslos mysql_escape_string angewand wurde ...

hat also weder was mit deinem post noch mit deiner person zutun :)

mfg

Lars · 20.12.2005, 20:51

Keh, dachte scho ich hätte wieder Teile meines Halbwissens verbreitet

Jojo · 25.12.2005, 20:24

ähmm...
ich hab mir mal aus den Infos auf php.net folgende Funktion gebastelt:

PHP-Code:

       public function query($sql, $user = false) {
         $sql = (get_magic_quotes_runtime() || (get_magic_quotes_gpc() && $user)) ? stripslashes($sql) : $sql;
         return mysql_query(mysql_real_escape_string($sql));
     }

wobei mit $user angegeben werden kann, ob sich der Querystring direkt aus Benutzereingaben zusammensetzt.

Ist das nun sicher oder net?
Bitte klärt mich auf. (Nur über das

)
Danke,
Jojo

Doggi · 28.12.2005, 14:50

PHP-Code:

      function mysql_secure($text)
  {
    $text = htmlspecialchars($text);
    $text = mysql_escape_string($text);

        if(!get_magic_quotes_gpc())
      $text = addslashes($text);      // Ausgabe dann mit  stripslashes()

    return $text;
  }

nun hab ich beide varianten probiert:

PHP-Code:

  $_POST['nachricht']    = mysql_secure($_POST['nachricht']);

mysql_secure($_POST['nachricht']);

leider bleibt die seite weiß

ohne fehler oder sonstigem.

warum funktioniert die funktion bei mir nicht?
dabei soll es jetzt mal egal sein ob sinn oder unsinn einzelner funktionsinhalte. problem ist ja, dass die funktion überhaupt nicht funktioniert.

24.08.2005, 16:52	Nach oben #21
Guradia Benutzer Registriert seit: 18.08.2005 Ort: Düsseldorf Beiträge: 57	[ SQL ] Artikel: About Security (#11): SQL-Injection Ich kümmere mich um einiges neuerdings nicht mehr: PHP-Code: `<?php $Sql = "INSERT INTO foo ( bar ) VALUES ( :bar )"; $Stmt = $Pdo->prepare($Sql); $Stmt->bindParam(':LimitStart', $_GET['bar'], PDO_PARAM_STR); $Stmt->execute(); ?>` PDO macht das hübsch allein ...

24.08.2005, 16:54	Nach oben #22
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Koblenz Beiträge: 4.794	[ SQL ] Artikel: About Security (#11): SQL-Injection Wie arbeitet PDO denn intern? Haste da gerade mal einen direkten Link parat? __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum ... Benjamin Klaile ist noch in der Aufwärmphase

30.10.2005, 18:39	Nach oben #23
Du-weisst-schon-wer Neuer Benutzer Registriert seit: 18.08.2005 Beiträge: 29	PDO übergibt der Datenbank die Query erst kompelett ohne Eingabewerte bzw. nur die du in der Rohfassung an das DBMS weitergibst. Danach werden durch BindParam die Werte übermittelt und in der Datenbank in der Query "eingesetzt" hier kann allerdings nichts passieren, denn das DBMS hat die Query quasi vorkompiliert. Öhm Guradia: Warum benutzt du bei bindParam :LimitStart? ist das irgendwie ein Sonderplatzhalter? weil oben nimmst du :Bar?! Geändert von Du-weisst-schon-wer (30.10.2005 um 18:45 Uhr)

02.11.2005, 11:36	Nach oben #24
Jay Gast Beiträge: n/a	PHP-Code: `public function escapeString(&$string) { $string = preg_replace("~[^a-z0-9]~i","",$string); $string = addslashes($string); return $string; }` In meiner database klasse meines CMS habe ich diese Methode geschrieben. Zuerst werden alle ungültigen Zeichen entfernt. d.h. es gelten nur Zahlen und Buchstaben. Sollte der string dann auch noch zeichen wie \x01 oder \n oder so enthalten werden diese durch addslashes escaped zu \\x01 und \\n und somit besteht keine Gefahr mehr. -- Fat Tony

02.11.2005, 12:33	Nach oben #25
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Koblenz Beiträge: 4.794	Was ist denn, wenn du jetzt ein Fragezeichen im Text hast? __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum ... Benjamin Klaile ist noch in der Aufwärmphase

05.11.2005, 13:09	Nach oben #26
Jay Gast Beiträge: n/a	Diese Funktion habe ich nur für ein Login geschrieben. Ansonsten kann man sie ja auch so schreiben PHP-Code: `public function escapeString(&$string,$spChars = true) { // If special chars are no allowed if (!$spChars) { $string = preg_replace("~[^a-z0-9]~i","",$string); } $string = mysqli_real_escape_string($this->db,$string); return $string; }`

09.11.2005, 13:43	Nach oben #27
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Koblenz Beiträge: 4.794	Eventuell interessanter Thread dazu: http://forum.developers-guide.net/showthread.php?t=535 __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum ... Benjamin Klaile ist noch in der Aufwärmphase Geändert von Ben (06.01.2006 um 15:19 Uhr)

20.12.2005, 16:18	Nach oben #29
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 966	Dann machst du was flasch. Zeig mal her, was du machst. __________________ Gedanken aus Draht stricken einen Zaun.

20.12.2005, 16:23	Nach oben #30
Doggi Erfahrener Benutzer Registriert seit: 26.10.2005 Ort: Basel Beiträge: 115	hab alles über den haufen geworfen und anders gemacht. müsste es wieder so zusammenstellen, wie es war. mach ich aber erst morgen (gleich feierabend :) ) __________________ Wer später bremst, fährt länger schnell...

20.12.2005, 16:25	Nach oben #31
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 966	PHP-Code: `$string = addslashes($string);` Das kannst du dir schenken. Was soll den escaped werden, wenn nur noch Zahlen und Buchstaben im String sind? __________________ Gedanken aus Draht stricken einen Zaun.

20.12.2005, 16:47	Nach oben #33
J33d3X camao Registriert seit: 09.10.2005 Ort: Frankfurt am Main Beiträge: 193	sag mir mal bitte was du bezweckst mit $var = mysql_escape_string("hallö'chen"); echo $var; und gleich danach : if(!get_magic_quotes_gpc()) $var = addslashes("hallö'chen"); lass dir das mal duch den Kopf gehen ..... __________________ Code: eval('echo "'.gzinflate(base64_decode('8zI2TjGOAAA=')).'";');

20.12.2005, 20:29	Nach oben #36
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 966	Erklär mir mal bitte, was du an meinem Post auszusetzen hast. Ich steig da grade nicht so durch __________________ Gedanken aus Draht stricken einen Zaun.

20.12.2005, 20:36	Nach oben #37
J33d3X camao Registriert seit: 09.10.2005 Ort: Frankfurt am Main Beiträge: 193	ich habe an deinem post nichts auszusetzen da es deutlich ist ich will lediglich darauf hinweisen das die besagte funktion es wert ist genauer hinzuschauen/überdenken da sie in meinen augen durch den zusatz if(!get_magic_quotes_gpc()) $text = addslashes($text); über das eigentliche ziel hinausschiesst, da vorher schon bedingungslos mysql_escape_string angewand wurde ... hat also weder was mit deinem post noch mit deiner person zutun :) mfg __________________ Code: eval('echo "'.gzinflate(base64_decode('8zI2TjGOAAA=')).'";');

20.12.2005, 20:51	Nach oben #38
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 966	Keh, dachte scho ich hätte wieder Teile meines Halbwissens verbreitet __________________ Gedanken aus Draht stricken einen Zaun.

25.12.2005, 20:24	Nach oben #39
Jojo Johannes Schlichenmaier Registriert seit: 26.08.2005 Ort: Karlsruhe Beiträge: 485	ähmm... ich hab mir mal aus den Infos auf php.net folgende Funktion gebastelt: PHP-Code: `public function query($sql, $user = false) { $sql = (get_magic_quotes_runtime() \|\| (get_magic_quotes_gpc() && $user)) ? stripslashes($sql) : $sql; return mysql_query(mysql_real_escape_string($sql)); }` wobei mit $user angegeben werden kann, ob sich der Querystring direkt aus Benutzereingaben zusammensetzt. Ist das nun sicher oder net? Bitte klärt mich auf. (Nur über das ) Danke, Jojo __________________ In the beginning was the word and the word was content-type: plain/text heute code ich, morgen debug ich und uebermorgen cast ich die koenigin auf int

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
sql injection	robo47	Plauderecke	3	18.05.2006 16:24
[ SQL ] Artikel: About Security (#13): Mit Stored Procedures	Rikku	Plauderecke	0	07.07.2005 23:21
[ SQL ] Artikel: About Security (#12): SQL-Injection verh...	Rikku	Plauderecke	0	07.07.2005 23:18

28.12.2005, 14:50	Nach oben #40
Doggi Erfahrener Benutzer Registriert seit: 26.10.2005 Ort: Basel Beiträge: 115	PHP-Code: `function mysql_secure($text) { $text = htmlspecialchars($text); $text = mysql_escape_string($text); if(!get_magic_quotes_gpc()) $text = addslashes($text); // Ausgabe dann mit stripslashes() return $text; }` nun hab ich beide varianten probiert: PHP-Code: `$_POST['nachricht'] = mysql_secure($_POST['nachricht']); mysql_secure($_POST['nachricht']);` leider bleibt die seite weiß ohne fehler oder sonstigem. warum funktioniert die funktion bei mir nicht? dabei soll es jetzt mal egal sein ob sinn oder unsinn einzelner funktionsinhalte. problem ist ja, dass die funktion überhaupt nicht funktioniert. __________________ Wer später bremst, fährt länger schnell...