array_stripslashes ??

Doggi · 20.12.2005, 12:01

habe auf http://tut.php-q.net/guestbook.html

folgendes gefunden

PHP-Code:

  <?php
    error_reporting(E_ALL);
    include 'inc/config.php'; // die Konfigurationsdateien lesen.

    if(get_magic_quotes_gpc()) {
        array_stripslashes($_GET);
        array_stripslashes($_POST);
        array_stripslashes($_COOKIE);
    }

    // ...
?>

da es nicht eingefärbt wurde, habe ich mal auf php.net nachgeschaut und diese funktion nicht gefunden. da ich aber gerade an der sicherheit arbeite, würde mich schon interessieren was das ursprünglich mal machen sollte.

hat jemand vielleicht einen tipp, wo ich gesammelte werke zu sicherheitslücken von mysql nachlesen kann und wie man diese schließt?

thx a lot

Ben · 20.12.2005, 12:10

Hi,
wir hatten da schon den ein oder anderen Thread zu.
Schau eventuell mal hier rein:

[ SQL ] Artikel: About Security (#11): SQL-Injection

J33d3X hatte hier auch mal was gepostet .. finde das aber gerade nicht mehr.

Grüße Ben.

Doggi · 20.12.2005, 12:38

hab die suche benutzt, hatte aber nichts gefunden, sry.

das von J33d3X steht glaub ich hier:
Wie anfälig ist dieser MySQL Code ?

dafür brauch ich tage, bis ich das verstanden und in seine bestandteile zerpflückt habe

Ben · 20.12.2005, 12:54

Ich wunder mich ehrlich gesagt gerade, warum man diesen Beitrag hier nicht bei der Suche nach "PreClean" findet, aber nunja ...

Den Beitrag von J33d3X meinte ich:

Variable prüfen vor Insert

Doggi · 20.12.2005, 13:23

Habe jetzt mal meine DB getestet.

(get_magic_quotes_gpc ist off)

die session.php (die alle eingaben prüft) macht folgendes:

PHP-Code:

  $_POST['vorname']    = addslashes(htmlspecialchars(trim($_POST['vorname'])));

anschließend wird es in die DB geschrieben. vorher noch mysql_real_

PHP-Code:

  $vorname    = mysql_real_escape_string($_SESSION['vorname']);

ohne mysql_real wurde alles normal in die db geschrieben.

nachdem ich diesen code hinzugefügt habe, werden alle eingaben plötzlich gelöscht. hier mal der text zum testen, den ich per formular übergeben habe:

\' ' \\ \r \n \\r \\n "'"

das lustige ist, es wird ein leerer eintrag erzeugt und die losnummer wird vom vorgänger angezeigt

was läuft da schief ?

ohne mysql_escape wird werden die slashes escaped. dadurch werden sie normal in die db eingetragen. also aus \' und ' wird in der db genau dieses eingetragen. ist das nun schlecht oder gut? wenn schlecht, dann könnte man doch einfach noch ein addslash hinzufügen und das problem wäre gelöst. ich befürchte, das wird mich noch ne weile beschäftigen.

das problem ist: wenn ich nicht addslashes($_POST['vorname']); setze, dann bekomme ich nen sql fehler angezeigt, das er keine \ etc. haben will.

20.12.2005, 12:01	Nach oben #1
Doggi Erfahrener Benutzer Registriert seit: 26.10.2005 Ort: Basel Beiträge: 115	array_stripslashes ?? habe auf http://tut.php-q.net/guestbook.html folgendes gefunden PHP-Code: `<?php error_reporting(E_ALL); include 'inc/config.php'; // die Konfigurationsdateien lesen. if(get_magic_quotes_gpc()) { array_stripslashes($_GET); array_stripslashes($_POST); array_stripslashes($_COOKIE); } // ... ?>` da es nicht eingefärbt wurde, habe ich mal auf php.net nachgeschaut und diese funktion nicht gefunden. da ich aber gerade an der sicherheit arbeite, würde mich schon interessieren was das ursprünglich mal machen sollte. hat jemand vielleicht einen tipp, wo ich gesammelte werke zu sicherheitslücken von mysql nachlesen kann und wie man diese schließt? thx a lot __________________ Wer später bremst, fährt länger schnell...

20.12.2005, 12:10	Nach oben #2
Ben Benjamin Klaile Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.516	Hi, wir hatten da schon den ein oder anderen Thread zu. Schau eventuell mal hier rein: [ SQL ] Artikel: About Security (#11): SQL-Injection J33d3X hatte hier auch mal was gepostet .. finde das aber gerade nicht mehr. Grüße Ben. __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum Aktuell ... Kaiserslautern kommt in die Festung Oberwerth U14 erreicht Sieg im Testspiel gegen SF Troisdorf Testspiel gegen SV Wehen-Wiesbaden in Nassau E-Jugend Blitzturnier auf dem Oberwerth SV Ried gegen SK Rapid Wien Geändert von Jann Hendrik (28.05.2008 um 19:58 Uhr) Grund: link aktualisiert

20.12.2005, 12:38	Nach oben #3
Doggi Erfahrener Benutzer Registriert seit: 26.10.2005 Ort: Basel Beiträge: 115	hab die suche benutzt, hatte aber nichts gefunden, sry. das von J33d3X steht glaub ich hier: Wie anfälig ist dieser MySQL Code ? dafür brauch ich tage, bis ich das verstanden und in seine bestandteile zerpflückt habe __________________ Wer später bremst, fährt länger schnell... Geändert von Jann Hendrik (28.05.2008 um 19:59 Uhr) Grund: link aktualisiert

20.12.2005, 12:54	Nach oben #4
Ben Benjamin Klaile Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.516	Ich wunder mich ehrlich gesagt gerade, warum man diesen Beitrag hier nicht bei der Suche nach "PreClean" findet, aber nunja ... Den Beitrag von J33d3X meinte ich: Variable prüfen vor Insert __________________ Mehr TuS Koblenz geht nicht ... - TuS Koblenz Forum Aktuell ... Kaiserslautern kommt in die Festung Oberwerth U14 erreicht Sieg im Testspiel gegen SF Troisdorf Testspiel gegen SV Wehen-Wiesbaden in Nassau E-Jugend Blitzturnier auf dem Oberwerth SV Ried gegen SK Rapid Wien Geändert von Jann Hendrik (28.05.2008 um 19:59 Uhr) Grund: link aktualisiert

20.12.2005, 13:23	Nach oben #5
Doggi Erfahrener Benutzer Registriert seit: 26.10.2005 Ort: Basel Beiträge: 115	Habe jetzt mal meine DB getestet. (get_magic_quotes_gpc ist off) die session.php (die alle eingaben prüft) macht folgendes: PHP-Code: `$_POST['vorname'] = addslashes(htmlspecialchars(trim($_POST['vorname'])));` anschließend wird es in die DB geschrieben. vorher noch mysql_real_ PHP-Code: `$vorname = mysql_real_escape_string($_SESSION['vorname']);` ohne mysql_real wurde alles normal in die db geschrieben. nachdem ich diesen code hinzugefügt habe, werden alle eingaben plötzlich gelöscht. hier mal der text zum testen, den ich per formular übergeben habe: \' ' \\ \r \n \\r \\n "'" das lustige ist, es wird ein leerer eintrag erzeugt und die losnummer wird vom vorgänger angezeigt was läuft da schief ? ohne mysql_escape wird werden die slashes escaped. dadurch werden sie normal in die db eingetragen. also aus \' und ' wird in der db genau dieses eingetragen. ist das nun schlecht oder gut? wenn schlecht, dann könnte man doch einfach noch ein addslash hinzufügen und das problem wäre gelöst. ich befürchte, das wird mich noch ne weile beschäftigen. das problem ist: wenn ich nicht addslashes($_POST['vorname']); setze, dann bekomme ich nen sql fehler angezeigt, das er keine \ etc. haben will. __________________ Wer später bremst, fährt länger schnell... Geändert von Doggi (20.12.2005 um 15:00 Uhr)

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche