Forum PHP.pl

Dzięki. Nie zauważyłem, że generujesz go na podstawie Id. Wszystko jasne. Dzięki.

Co do zabezpieczenia przed SQL Injection znalazłem coś takiego

[PHP] pobierz, plaintext 
<?php
 
	$arrArguments = array();
	$intArgumentIndex = 0;
 
	function parseArgument($arrMatches) {
		global $arrArguments, $intArgumentIndex;
 
		$strMatch = $arrMatches[0];
		$strArgument = @$arrArguments[$intArgumentIndex++];
		switch ($strMatch) {
			case '%d': return (int)$strArgument;
			case '%s': return '"'.
			  mysql_real_escape_string($strArgument).'"';
			case '%b': return (int)((bool)$strArgument);
		}	
	}
 
	function SQL($strSql) {
		global $arrArguments, $intArgumentIndex;
 
		$arrArgs = func_get_args();
		array_shift($arrArgs);
		$arrArguments = $arrArgs;
		$intArgumentIndex = 0;
		return preg_replace_callback('/(%[dsb])/', 'parseArgument',
		  $strSql);	
	}
 
?>
[PHP] pobierz, plaintext 

Zastosowanie:

[SQL] pobierz, plaintext 
$sql = SQL('INSERT INTO users (id, uid, name, username, password, newsletter) 
VALUES (NULL, %d, %s, %s, %s, %B)', $_POST['uid'], $_POST['name'], 
$_POST['username'], md5($_POST['password']), $_POST['newsletter']); 
 
INSERT INTO users (id, uid, name, username, password, newsletter) 
VALUES (NULL, 1, "Łukasz \"anAKiN\" Lach", "anakin", 
"97296eca657a093aa379778c237e292d", 1)
[SQL] pobierz, plaintext 

Cały temat pod http://www.hacking.pl
oraz bardzo dobry przykład po angielsku ale kod każdy rozumie
http://www.unixwiz.net/techtips/sql-injection.html
a tu przykład błedów wysyłanych przez formularz
http://webcity.pl/webcity/porady.php/t/113

Dobrym też pomysłem są logi jeżeli było jakieś błędne zapytanie, dzięki temu można wyczaić co dany klient kombinuje, i powiedzmy przyblokować w imie dobra jego IP na jakiś czas ewentualnie login, wtedy niezrobimy krzywdy innym userom na tym samym ip.

Co do tego usówania to ja jeszcze weryfikuje IP, nazwe sesji, sumę kontrolną, i uprawniemia usera, pozatym nie jest dany wpis wywalany z bazy tylko deaktywowany powiedzmy jakieś pole w DB odpowiada za status, pużniej odpalam co jakiś czas skrypt który usówa wpisy starsze niż 30 dni z bazy danych w celu odciążenia serwera. Myślę że to w miarę bezpieczna metoda jeżeli chodzi o usówania damych z bazy. i jeszczcze na dodatek jak jest kilka osób które zarządzają serwisem.

Ten post edytował planet_x 3.08.2006, 15:21:26

Mam zapytanie, które jest brzydkie

[PHP] pobierz, plaintext 
<?php
$query = "DELETE FROM newsy WHERE id=".$_GET['id'];
?>
[PHP] pobierz, plaintext 

Czy jak zmienie w taki sposób:

[PHP] pobierz, plaintext 
<?php
$query = "DELETE FROM newsy WHERE id='".$_GET['id']."'";
?>
[PHP] pobierz, plaintext 

To będzie już ładne ?

a jak ktos ci w miejsce id zamiast powiedzmy 2, wpisze: 2' or 1=1 to usunie ci wszystko z tabeli.... byla mowa na poczatku tego topicu. jesli id to liczba, to rzutuj ja na liczbe: (int)$_GET['id']. jak nie liczba to slashuj

OK. Ale jak mam już zapytanie typu SELECT, np

[PHP] pobierz, plaintext 
<?php
$query = "SELECT * FROM newsy WHERE id=".$_GET['id'];
?>
[PHP] pobierz, plaintext 

To rozumiem, że chyba nic złego się nie może stać ?

W przypadku mysql za bardzo tak ci nic nie skasuja, gdyz mysql_query pozwala na wykonanie tylko jednego zapytania. ale w przypadku innych baz to moglbys sie zzdziwic.
Pozatym w mysql to ci moga wyciagnac inne dane niz w twoim warunku, wystarczy ze za id dadza: 2 or 1=1
i juz poznaja wszystkie rekordy a nie tylko o danym id.

Przyjmij wkoncu do wiadomosc. Dane nalezy filtrowac, niezaleznie od tego czy ktos moze zaszkodzic czy nie. Naucz sie wyrabiac w sobie dobre nawyki.
Cos ma byc intem: zrzutuj na int. Cos ma byc tekstem: przeslashuj to

żartujesz czy to jakaś prowokacja? w $_GET['id'] wpisuje OR 1=1 i po sprawie. wlasciwie mozna zrobic tu wszystko teraz. taki przyklad pojawia sie w kazdym kursie, artykule, ksiazce jako calkowity brazk zabezpieczenia.

a jesli bedzie cos takiego
http://index.php?site=del&id=2
i dopiszesz dalej
';%20$mysql_query%20=%20"%20DELETE%20%20FROM%20USERS";
chodzi o usuwanie to czy cos takiego ma szanse zadzialac

w przypadku jak id nie jest filtrowane

Czy Twoim zamierzeniem bylo zakonczenie jednej instrukcji php i wywolanie drugiej, w tym przypadku wywolanie ponownie mysql_query? Powodzenia życze.

Kurcze zrobiłem coś takiego:

[PHP] pobierz, plaintext 
<?php
$query  = ($_GET['id']=='') ? 'INSERT INTO formularze SET' : 'UPDATE formularze SET ';
$query .= " name = '".mysql_escape_string($_POST['name'])."', date='".$_POST['date']."' ";
if ($_GET['id']!='')
	$query .= ' WHERE id ='.(int)$_GET['id'];
 
$result = mysql_query($query) or die(mysql_error());
?>
[PHP] pobierz, plaintext 

Probelm jest chyba z mysql_escape_string
bo teraz po dodaniu tesktu z cudzysłowem i zapisaniu w bazie,
jak robie wyświetlanie wpisanych wartości to mam dodane slashe,
Co się w takim przypadku robi? Jest jakaś funkcja na to?

Ten post edytował php programmer 23.08.2006, 12:40:32

no musisz przed wyswietleniem uzyc stripslashes. jest to pewien feler...

Mozesz tez zapisywac do bazy przy pomocy htmlspecialchars z dyrektywa ENT_QUOTES. Zapiszesz wowczas encje i nie bedziesz mial \

używaj prepared statements to w wiekszosci przypadkow nie bedziesz musial sie sie przejmowaniem slashowaniem i odslashowaniem. niestety dostepne dopiero od mysqli i pdo

Apropo gier: http://sge.laventhar.pl/ Włamałem sie do niej pół roku temu poprzez błąd serwera, w kodzie php odnalazłem pliki *ini a tam hasło :-) i gra była moja.

przyznam szczerze, ze calego topica nie przeczytalem i moze sie juz pojawilo

jesli chcemy zrobic

[SQL] pobierz, plaintext 
SELECT pole FROM tabela WHERE id=$_GET['id']
[SQL] pobierz, plaintext 

to najlepiej jest nie przesylac zmiennej bezposrednio GETem, czy POSTem, lecz zrobic tak:

[PHP] pobierz, plaintext 
<?php
 
switch ($_GET['id'])
	{
	case 'a': $szukana=0;
	break;
	case 'b': $szukana=1;
	break;
	default : $szukana=666;
	}
 
$sql = "SELECT pole FROM tabela WHERE id =".$szukana.";";
?>
[PHP] pobierz, plaintext 

w ten sposob nikt nie jest w stanie pod nasza zmienna podpiac "zlych" warunkow do sqla, bo jesli wpisze cokolwiek innego niz a lub b, to $szukana bedzie defaultowa


p.s. co zrobic, zeby forum nie wstawialo mi \ przed "?

Ten post edytował Vexator 30.08.2006, 06:46:04

@Vexator z calym szacunkiem, ale przeczytaj jednak ten topic caly, albo przynajmniej strone na ktorej napisales tego posta...
Przeciez ty dales warunek na ID, w bazie mam powiedzmy 1000 rekordow i co, mam walić na kazdego case? Jak ty to sobie wyobrazasz? poroniony pomysl
skoro to ID to wystarczy zrzutowac na int: (int) $_GET['id']
i nikt ci nic nie wrzuci

Naklepsza ochroną jest stosowanie sesji z prawami dostepu. W swoich skryptach przed wyslaniem zapytanie do SQL spr czy user ma prawa dostepu, jezeli nie skrypt nie puszcza pasozyda.

@free ale jak to sie ma do topicu w ktorym uraczyles nas tym postem?
W jaki sposob sprawdzasz czy koles ma prawa? Na podstawie pewnie czy zalogowany, a zeby sie zalogowac to musi wpisac login i haslo i juz w tym momencie moze zrobic ci atak. No chyba ze sprawdzasz czy ma prawa do zalogowania sie

edit: a nawet jak ma prawa to moze chcacy lub niechcacy zrobic cos "źle"

Hmm, mam pytanie, stosuje mod_rewrite w ten sposób :

[HTML] pobierz, plaintext 
RewriteEngine on
RewriteRule ^$ /index.php
RewriteRule ^([0-9a-z]+)$ /$1/
RewriteRule ^([0-9a-z]+)/$ /index.php?p_zmienna=$1
 
RewriteRule ^([0-9a-z]+)/([0-9a-z]+)$ /$1/$2/
RewriteRule ^([0-9a-z]+)/([0-9a-z]+)/$ /index.php?p_zmienna=$1&d_zmienna=$2
[HTML] pobierz, plaintext 

Adres strony pojawia się w ten sposób : http://strona.net/wartosc1/wartosc2/
Jeśli w żadnym linku nie odwołam się do postaci http://strona.net/index.php?p_zmienna=wart...mienna=wartosc2 . To czy ewentualny atakujący będzię miał możliwość w jakikolwiek sposób zobaczyć nazwę tej zmiennej ? Bo jeśli nie będzie miał możliwości to przy wpisaniu http://strona.net/wartosc1 OR 1=1/ wyskoczy błąd serwera gdyż pusty znak nie jest uwzględniony w [0-9a-z] i SQL Injection się nie powiedzie. Czy się myle ?

Ten post edytował Blastereq 7.09.2006, 12:28:57

Ja bronię się trochę inaczej:
robię zapytanie typu

[PHP] pobierz, plaintext 
<?php
$sql='SELECT id,login FROM baza WHERE haslo="'.md5($_POST['haslo']).'"';
$wynik=mysql_fetch_row($sql);
if ((mysql_num_rows($sql)==1) && ($wynik[1]==$_POST['login'])){
//Zalogowany
$_Session['id']=$wynik[0];
//Dalsze czynności....
}else{
//Jeszcze raz, bo nie udało się. Można ewentualnie wypisać, czy to zły login, czy 
też hasło....
}
?>
[PHP] pobierz, plaintext 

Funkcja haszująca MD5 gwarantuje, że treść wysłana w zapytaniu do bazy NIE będzie żadnym poleceniem. Jeżeli hasło istnieje (albo ktoś trafił na ciąg po haszowaniu dajacy jakiśtam rezultat, który jest w bazie), to sprawdzamy login z zapodanym wcześniej. Takie podejście od tyłu Najczęściej wykorzystywane jest pole [login] do takich zabaw jak SQL Injection. A w tym przypadku nie ma na to szans.

Proszę o ocenę pod względem bezpieczeństwa...

PS> Hasła w bazie są oczywiście shaszowane
PS2> w zmiennej $sql nie ma żadnych Backslashy (czyli [\])

Super - sprawdzasz tylko po haśle - więc zakladasz ze kazdy user MUSI miec inne haslo - zle - wybierz po loginie (ktory winien byc unikalny) i potem czy hash hasła = shaszowane wczesniej haslo z bazy.