[richy]

moin!

ich uebergebe per link zb, profil.php?uid=12, die userid 12. funktioniert, weil den user mit der id 12 gibt es. nehmen wir mal an ein benutzer editiert den link zu bloedsinn wie profil.php?uid=1edf_werw32...dann krieg ich hier nur fehlermeldungen. wie fange ich sowas ab?

[Corvin]

Überprüf, ob es sich bei $_GET['uid'] um eine Zahl handelt. Am einfachsten geht das mit is_numeric().

[richy]

hi!

gut, aber wenn die zahl trotzdem keiner uid entspricht wirft er auch fehlermeldungen aus, denn ich verwende $uid in einer query (where uid = $uid)...

[Flor1an]

Naja ist doch recht einfach. Wenn der Query "leer" ist, also keine Daten zurück gibt weißt du dass es diesen User nicht gibt! Dann kannst du selber entweder nichts machen oder ne eigene Fehlermeldung dem Nutzer anzeigen.

[robo47]

und hoffentlich escapst du $uid ! sonst kann dir darüber jemand CODE in dein Query einschleusen!

[richy]

Zitat:

Zitat von robo47

und hoffentlich escapst du $uid ! sonst kann dir darüber jemand CODE in dein Query einschleusen!

was ist escapen und wie mache ich das?!

Zitat:

Naja ist doch recht einfach. Wenn der Query "leer" ist, also keine Daten zurück gibt weißt du dass es diesen User nicht gibt! Dann kannst du selber entweder nichts machen oder ne eigene Fehlermeldung dem Nutzer anzeigen.

ah jo, dann mache ich einfach nach der query ein mysql nums rows und wenn da nix kommt dann breche ich die ganze aktion ab.

[Corvin]

Zitat:

Zitat von richy

was ist escapen und wie mache ich das?!

http://de2.php.net/mysql_real_escape%20string
Schau dir vor allem die Beispiele an.

Zitat:

Zitat von robo47

und hoffentlich escapst du $uid ! sonst kann dir darüber jemand CODE in dein Query einschleusen!

Nicht, wenn überprüft wird, ob es sich um eine Zahl handelt.

[richy]

ok... muss ich bei jedem query irgendwas escapen, oder nur wenn ich einen string uebergebe?

nehmen wir mal an ich habe eine liste.php, die defaultmaessig alle profile listet.

jetzt baue ich die moeglichkeit ein diese liste zu filtern per liste.php?zeigen=neueste_profile und setze die query in eine if-klammer:

PHP-Code:

if ($_GET[zeigen] == "neueste_profile")
{
 $sql = "blablabla;";
} 


muss ich nur im letzeren fall etwas escapen oder auch bei der defaultabfrage?

[Corvin]

Du musst immer dann escapen, wenn du Eingaben vom Benutzer in die Query mit einbaust.

[Jann Hendrik]

Grundregel dabei ist: ALLES was vom Benutzer kommt kann auch Schaden anrichten.

Was Sicherheitsfragen rund um PHP angeht kann ich dir dieses Buch empfehlen!
PHP-Sicherheit

[Basti]

Zitat:

Zitat von richy

ok... muss ich bei jedem query irgendwas escapen, oder nur wenn ich einen string uebergebe?

Hi.

Du musst einfach sicherstellen, dass die übergebenen Werte den Sinn deiner Abfrage nicht umbiegen können. Angenommen, du hast folgende Abfrage:

PHP-Code:

$sQuery = "SECET * FROM `users` WHERE `user` = '$sUser'"; 


Du gehst davon aus, dass der Wert $sUser eine Zeichenkette mit einem zu prüfenden Benutzernamen ist. Aber ist das auch wirklich so? Wo kommt dieser Wert her?

Das könnte z.B. so aussehen:

PHP-Code:

$sUser = 'guest';

if(isset($_REQUEST['user']))
    $sUser = $_REQUEST['user'];

$sQuery = "SECET * FROM `users` WHERE `user` = '$sUser'"; 


Das bedeutet also, dass hier jeder beliebige Benutzer (oder Angreifer) diesen Wert selbst festlegen kann. Konkret heißt das, dass du der Öffentlichkeit folgendes Werkzeug anvertraust:

Code:

SECET * FROM `users` WHERE `user` = '<beliebige Eingabe>'

Was also, wenn der Benutzer deine Seite mit folgendem Parameter aufruft (URL-kodiert natürlich) :

?user=niemand' or `user`='admin

Zusammengesetzt mit obigem Code wird daraus die Abfrage:

Code:

SECET * FROM `users` WHERE `user` = 'niemand' or `user`='admin'

So einfach kann sich der Benutzer dann z.B. die Daten des Administrators anzeigen lassen oder manipulieren.

Jetzt stellt PHP für sowas einen halbherzigen Schutzmechanismaus zur Verfügung, den du über die Konfigurations-Option magic_quotes.gpc an- und ausschalten kannst:

http://php.net/manual/en/security.magicquotes.php

Dadurch werden also z.B. Hochkommata escaped. Das ist nett gedacht, aber letztlich nervig und unsinnig und schlecht umgesetzt, siehe hier:

http://bugs.php.net/bug.php?id=29776

Das eigentliche Problem ist ein konzeptionelles, denn woher soll PHP wissen, was du mit den Daten vorhast. Hast sicherlich schonmal Gästebücher oder automatisch generierte E-Mails gesehen, in denen dann z.B. Hallo \"Paul\" zu lesen war.

Besser ist folgendes Vorgehen: Alle Daten so annehmen, wie sie vom Benutzer gemeint waren bzw. eben geschickt wurden und dann, je nach Verwendung die enthaltenen Sonderzeichen entschärfen.

Also:
1. magic_quotes.gpc überprüfen und ggf. die Wirkungen rückgängig machen, um die ursprünglichen daten wieder herzustellen (siehe z.B. den Code von php at kaiundina dot de im oben verlinkten Bug-Report).

2. Je nach Verwendung Daten manipulieren. Hier musst du eben sicherstellen, dass die Daten auch wirklich dem Format entsprechen, das du erwartest (also auch z.B. die Länge einer Zeichenkette beim Schreiben in die Datenbank berücksichtigen) und die
Steuerzeichen für den jeweiligen Kontext „escapen“. Und das sind halt völlig andere, ob du die Daten ausspucken möchtest (htmlentities()), in eine MySQL-Datenbank packen möchtest (mysql_real_escape_string()), an die Shell übergeben möchtest (escapeshellarg()), in eine CSV-Datei schreiben möchtest etc.

Ich benutze für MySQL eine Klasse, der ich die Query und die Werte getrennt übergebe:

PHP-Code:


$sQuery = '
    SELECT
        *

    FROM
        `users`

    WHERE
        `user` = "%user%"
';

$aData = array('user' => $sUser);

$Reqult = $this->query($sQuery, $aData); 


In der Methode werden die Werte dann automatisch escaped und eingesetzt. Damit brauche ich mir nicht weiter einen Kopf machen bzw. muss mir nicht bei jedem Wert überlegen, wo er herkommt und in welchem Wertebereich er liegt, also was für Werte da alles möglich wären.

Nur beim Einfügen von Werten musst du natürlich prüfen, was da reinpasst. In ein Feld INT passt natürlich kein Text oder keine Fließkommazahl etc.

Ein beliebter Fehler in diesem Zusammenhang ist z.B. auch, die E-Mail-Adresse bzw. den Namen nicht zu entschärfen, den ein Benutzer in ein Kontaktformular eingibt und diese Daten dann ungefiltert an mail() zu übergeben. Damit kann man dein Formular dann wunderbar nutzen, um SPAM zu verschicken. Dazu findest du Material unter dem Stichwort „e-mail header injection“.

Hoffe, das gibt dir ein klareres Bild von der Thematik.

Basti

[richy]

Zitat:

Zitat von Basti

Hoffe, das gibt dir ein klareres Bild von der Thematik.

Basti

auf jeden fall! besten dank!

[richy]

mal noch ne blöde frage:

im php.net tutorial befindet sich die db-verbindung in einer if-klammer:

PHP-Code:

<?php

if (isset($_POST['product_name'])
    && isset($_POST['product_description'])
    && isset($_POST['user_id'])) {

 // Verbinden mit der Datenbank
    $link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')

    if(!is_resource($link)) {

        echo "Verbindung zum Server fehlgeschlagen\n";
     // ... den Fehler loggen

    } else {

ist es zwingend notwendig, dass die db-verbindung einer bedingung unterliegen muss? ich hab zb eine profile.php, die defaultmaessig alle profile listet. die db-connection wird ohne bedingung geoeffnet...

[Artemis]

Nein, man kann die Datenbankverbindung öffnen, wann man lustig ist.

Das Beispiel prüft, ob auch alle POST-Variablen vorhanden sind und baut erst dann eine Verbindung auf, da sonst überhaupt keine Verbindung notwendig ist.

Ich kaufe mir ja auch erst das Baumaterial wenn ich eine Baugenehmigung habe.

[richy]

ok tnx... ein frage weniger, aber hier schon die naechste.

ich verwende get statt wie in dem beispiel post. grund zur sorge?

[Corvin]

Zitat:

Zitat von richy

rund zur sorge?

Nein. In diesem Fall nicht.

http://www.php-faq.de/q/q-formular-methode.html

[richy]

Zitat:

Zitat von Corvin

Zitat:

Nicht, wenn überprüft wird, ob es sich um eine Zahl handelt.

also muss ich nur escapen wenn der an die query uebergebene string nicht vollstaendig numerisch ist?

[Corvin]

Ja. Mit (falschen) Zahlen kann man kein Schaden anrichten.

[richy]

tnx!

[Jann Hendrik]

Zitat:

Zitat von Corvin

Ja. Mit (falschen) Zahlen kann man kein Schaden anrichten.

Das kommt ganz drauf an!

Das würde ich so jedenfalls nicht direkt unterschreiben!