Forum PHP.pl

Forum PHP.pl > Forum > PHP

Reply to this topic

Start new topic

[PHP/MySQL] Slashes, quotes i baza MySQL

Crade Zobacz profil	1.05.2007, 22:31:00 Post #1
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 1.05.2007 Ostrzeżenie: (0%)	Przede wszystkim, na wstępie: jako nowy użytkownik forum - witam wszystkich . Sporo się mówi ostatnio o atakach SQL Injection (choć nie tylko), ale i także prawidłowym zabezpieczaniem skryptów. Jako, że ja nie miałem do czynienia z wieloma różniącymi się serwerami, nie mogę też mieć pojęcia na temat funkcji dotyczących automatycznego dodawania slashy przed znakami takimi jak ' " `. Chciałbym zadać pytanie, jednocześnie przeprowadzając małą "ankietę" pytając was o to, czy w swoich bazach danych MySQL trzymacie tekst w czystej formie w stylu, czy może skonwertowany za pomocą funkcji addslashes: Cytat("Czysta forma") Jestem Ania i chodzę na zakupy do sklepu tzw. "Super'Samu" Cytat("Skonwertowana przez użycie funkcji addslashes") Jestem Ania i chodzę na zakupy do sklepu tzw. \"Super\'Samu\" Którą wersję preferujecie bardziej? Która wersja trzymania tekstu w bazie danych wydaje się Wam bezpieczniejsza? Mimo przyklejonego tematu o SQL Injection itp. byłbym wdzięczny za udzielanie się w temacie i wypisywanie zalet oraz wad wybranych przez Was sposobów. Ten post edytował Crade 1.05.2007, 22:31:33

Kicok Zobacz profil	2.05.2007, 10:24:59 Post #2
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)	W bazie danych dane trzyma się w "czystej formie", co nie znaczy, że nie używa się funkcji zabezpieczających przed atakami SQL Injection (addslashes, mysql_escape_string, mysql_real_escape_string, itp.) Prosty test: odpal sobie phpMyAdmina i spróbuj wykonać takie zapytanie: [SQL] pobierz, plaintext INSERT INTO tabela (pole_tekstowe) VALUES ('Jestem Ania i chodzę na zakupy do sklepu tzw. "Super'Samu"'); [SQL] pobierz, plaintext Wyrzuci błąd. Następnie spróbuj wykonać takie zapytanie: [SQL] pobierz, plaintext INSERT INTO tabela (pole_tekstowe) VALUES ('Jestem Ania i chodzę na zakupy do sklepu tzw. \"Super'Samu\"'); [SQL] pobierz, plaintext i sprawdź jaki tekst znalazł się w bazie danych. Szczególną uwagę zwróć na to, czy zawiera ukośniki. Ukośnik informuje tylko bazę danych, że następny po nim znak (apostrof, cudzysłów, itp.) ma być traktowany jako zwykły tekst, sam natomiast do bazy danych zapisywany nie jest. -------------------- "Sumienie mam czyste, bo nieużywane."

Crade Zobacz profil	2.05.2007, 15:16:59 Post #3
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 1.05.2007 Ostrzeżenie: (0%)	A tu przysłowiowa (_._), gdyż dane z formularza wprowadzone do skryptu w takiej formie: [SQL] pobierz, plaintext $zmienna = addslashes($_POST['zmienna']); myslq_query(" INSERT INTO tabela SET `jakiespole` = '$zmienna' "); [SQL] pobierz, plaintext ... w bazie danych występują razem ze slashami. Czy przyczyną tego jest używanie SET zamiast VALUES? Hmm... nie mam pomysłów . Ten post edytował Crade 2.05.2007, 15:17:28

Kicok Zobacz profil	2.05.2007, 18:04:02 Post #4
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php echo($_POST['zmienna']); // Wyświetliły się slashe pomimo tego, że funkcję addslashes() użyjesz dopiero kilka linijek niżej? W takim razie poczytaj o magic_quotes: // <a href="http://pl.php.net/manual/pl/security.magicquotes.php" target="_blank">http://pl.php.net/manual/pl/security.magicquotes.php</a> // <a href="http://pl.php.net/manual/pl/function.get-magic-quotes-gpc.php" target="_blank">http://pl.php.net/manual/pl/function.get-m...-quotes-gpc.php</a> echo('<br>'); $_POST['zmienna'] = addslashes($_POST['zmienna']); echo($_POST['zmienna']); // Teraz jest cała masa slashy. Te powstałe przez magic_quotes zostały dodatkowo p otraktowane funkcją addslashes() mysql_query("INSERT INTO tabela SET `jakiespole` = '{$_POST['zmienna']}'"); // W bazie danych są teraz "pojedyncze" slashe, gdyż "połowa z nich" została potraktowana jako znaki ucieczki, a druga połowa jako zwykły tekst ?> [PHP] pobierz, plaintext magic_quotes_qpc" title="Zobacz w manualu PHP" target="_manual - tą funkcją sprawdzasz, czy tablice $_POST, $_GET i $_COOKIE już na starcie zostały potraktowane funkcją addslashes(). Jeśli tak, to: - jeśli używasz bazy danych MySQL, to dane wejściowe są już w pewnym stopniu zabezpieczone, jeśli używasz np. MSSQL to nie są zabezpieczone, bo MSSQL stosuje inny znak ucieczki. - będziesz musiał pamiętać o użyciu funkcji stripslashes" title="Zobacz w manualu PHP" target="_manual przed wyświetleniem danych z wyżej wymienionych tablic superglobalnych. No chyba że nie razi cię to, że po wpisaniu w formularzu tekstu: Wydawnictwo O'Reilly na stronie wyświetli się: Wydawnictwo O\'Reilly -------------------- "Sumienie mam czyste, bo nieużywane."

Crade Zobacz profil	2.05.2007, 19:35:24 Post #5
Grupa: Zarejestrowani Postów: 11 Pomógł: 0 Dołączył: 1.05.2007 Ostrzeżenie: (0%)	Dzięki, Kicok, za pomoc i obszernego posta. Mimo to samemu udało mi się dojść (po dość długiej motaninie) do tego że magic_quotes_qpc jest włączone i znaki ucieczki dodają się same. Początkowo zmieszałem się dlatego, że niektóre dane do zapytania pochodziły z formularza, a niektóre były zwykłymi zmiennymi. Te pierwsze były potraktowane slashami automatycznie, drugie zaś - nie. To mnie też właśniei zgubiło . Mimo tego dziękuję bardzo za okazaną pomoc - oby więcej takich ludzi .

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 18:45

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn