SQL Injection/Insertion, Jak zapobiec włamaniu na stronę. Opcje

[.radex]

Jakich znowuż scripts embed?

[empuszek]

Czego jeszcze Ci brakuje (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Wystarczy ze w zmiennych który wstrzykujesz w zapytanie "SELECT * FROM lol WHERE if='$id'" dajesz ' lub jeśli to ma być int dajesz (int)$_GET['ehh']; Tyle starcza... :] No i usuwanie wszelkich scripts embed ;P

Nareszcie ktoś to jasno napisał.

PS Co to jest Sript Embed?

[bełdzio]

zapewne chodzi o xss (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Xniver]

PS Co to jest Sript Embed?

Chodzi o tagi HTML <script> i <embed>. Wystarczy użycie funkcji strip_tags albo htmlspecialchars

[gandziorz]

Witam,
Przeczytałem temat przyklejony. I nikt nie sprecyzował jak można się uchronić przed union.
Napisałem taką funkcję:

[PHP] pobierz, plaintext 
<?php
function filtr ($zmienna) {
$zmienna = mysql_real_escape_string($zmienna); //zmienia na zmienna z znakami unikowymi
$zmienna = htmlspecialchars($zmienna, ENT_QUOTES);  //zmienia znaki html
return $zmienna;
}
?>
[PHP] pobierz, plaintext 

Tylko tak naprawdę nic nie wnosi ciekawego bo owszem zabezpieczy ale jedynie przed prostymi operacjami. Ale co jeśli ktoś użyje union?
Nie poskutkuje bo przecież przy UNION nie trzeba dawać splash'y.

Wiadomo również jak jest przy liczbach można dać INT i dopisać że jeżeli jest odstęp to nie ma tego brać pod uwagę.
np.

[PHP] pobierz, plaintext 
<?php
strona.php?id=3 or 1=1
Pobierze wtedy tylko 3.
?>
[PHP] pobierz, plaintext 

Dalej nie wiem co z union?

[Sedziwoj]

Myślałem że w przyklejonych ma być jakiś porządek, a tu burdel się robi...
Ograniczenie się do mysql, do tego było pisane co z union.

PS
spróbuj ?id=3%20or%20id%3d4 i analogicznie union jak nie sprawdzisz czy id to liczba, a string'a nie dasz w apostrofach.

[marcio]

Dajesz np na zmienne z get'a prosty str_replace np tak

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
$nowy_id = str_replace("union", "", $id);
?>
[PHP] pobierz, plaintext 

Lub dajesz preg_match + system bledow czy cos w tym stylu lub spradzasz czy zmienna id jest liczba

[PHP] pobierz, plaintext 
<?php
if(is_integer($_GET['zmienna'])) {
//dzialania jak wszystko ok
}
 
else echo('Blad proba wlamania');
?>
[PHP] pobierz, plaintext 

Co do strongow zastosuj pierwsza metode

Edit sedziwoj szybszy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował marcio 6.04.2008, 22:35:15

[Sedziwoj]

@marcio

Do id jako liczby całkowitej dodatniej różnej od zera lepiej użyć kombinacji empty() || ctype_digit() -> niepoprawne id.
Co do string'ów to Twoja metoda jest do niczego, co jakbyś pamiętał już było wspominane w tym temacie, w ciągach zabezpiecza się przed znakami specjalnymi np. używając *_escape_string(), do tego w zapytaniu taki ciąg znaków musi być w znakach oznaczających ciąg znaków, dla MySQL, PostgeSQL itd. jest to najczęściej

[SQL] pobierz, plaintext 
'i to jest ciąg znaków dla bazy'
[SQL] pobierz, plaintext 

I jak to użyjesz nie wbiją się za pomocą "SQL Injection", ogólnie dla każdego typu danych sprawdza się czy jest to ten co chcemy, a potem robimy odpowiednie rzeczy z nim (właściwie to chyba tylko ciąg znaków wymaga, ale pewnie coś by się jeszcze znalazło)

[MalyKazio]

Mam krótkie pytanie. Czy w przypadku używania MySQL lepszym jest używanie mysql_real_escape_string zamiast addslashes? Z tego co się zorientowałem jest to funkcja dedykowana dla tej bazy danych. Czy zatem warto otrzymane zmienne, przy włączonym magic_quotes przefiltrować z powrotem stripslashes i potem przez zapytaniem zastosować mysql_real_escape_string? Czy też jest to zupełnie bez sensu i lepiej zostawić tak jak jest a ewentualne mysql_real.* zostawić na wypadek wyłączonych magic_quotes?

[Crozin]

Jeśli masz magic_quotes przepuść wszystkie dane (_POST, _GET i _COOKIE) przez stripslashes() a przed dodaniem do bazy użyj mysql_real_escape_string() (ponieważ ona escape'uje: \x00, \n, \r, \, ', " and \x1a )

[.radex]

Apostrofy na wyrażenie + mysql_real_escape_string wszystko rozwiązuje. Nie potrzebne są dodatkowe zabezpiecznie przeciwko np. UNION

[Jarod]

Apostrofy na wyrażenie + mysql_real_escape_string wszystko rozwiązuje. Nie potrzebne są dodatkowe zabezpiecznie przeciwko np. UNION

Z czystej ciekawości, czy inne bazy rządzą się tymi samymi prawami?

[.radex]

to zależy od SQL a nie od typu bazy danych. Przynajmniej tak mi się wydaje.

[kilas88]

Odnośnie bezpieczeństwa mam takie pytanie.. Gdzieś tam wyczytałem, że baza danych MySQLi jest szybsza, lepsza i bezpieczniejsza od bazy MySQL. Na czym te różnice w bezpieczeństwie polegają?

I ja dodam funkcję, której używam przy zabezpieczaniu się:

[PHP] pobierz, plaintext 
<?php
function escape_data ($data) {
   global $dbc; // zmienna z przypisanym połączeniem do bazy mysql
   if (ini_get('magic_quotes_qpc')) {
	  $data = stripslashes($data);
   }
   return mysql_real_escape_string(trim($data), $dbc);
}
?>
[PHP] pobierz, plaintext 

Oczywiście jeszcze sprawdzam czy pobierana jest liczba, czy string oraz w miarę możliwości - zakres liczb, długość stringów i wszelkie inne opcje.

[pyro]

Dajesz np na zmienne z get'a prosty str_replace np tak

[PHP] pobierz, plaintext 
<?php
$id = $_GET['id'];
$nowy_id = str_replace("union", "", $id);
?>
[PHP] pobierz, plaintext 

www.bla.com/index.php?id=-1 UNI/**/ON SELECT 1;

Ten post edytował pyro 23.09.2008, 08:28:17

[marcio]

@Up oczywiscie znaki takie jak -,*,/ tez mozna usunac (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A co myslicie o takim nadzorowaniu http://www.uw-team.org/forum/viewtopic.php?f=5&t=6986

[pyro]

@Up oczywiscie znaki takie jak -,*,/ tez mozna usunac (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A co myslicie o takim nadzorowaniu http://www.uw-team.org/forum/viewtopic.php?f=5&t=6986

tak, sprobujesz je usunac wyrazeniami regularnymi to ja ci zaczne te znaki kodować, poza tym moge chciec umiescic takie znaki jak ukosniki i gwiazdki i co wtedy? dupne zabezpieczenie...

A nadzorowanie ktore podales napewno nie zabezpieczy 100%, moze tylko sluzyc jako dodatkowa nakladka bezpieczenstwa

Ten post edytował pyro 12.11.2008, 13:31:26

[kayy]

Pytanie;

jeżeli użyje takiego czegoś, to wszystkie zmienne z $_GET i $_POST będą zabezpieczone?

[PHP] pobierz, plaintext 
<?php
function safe() {
 
foreach($_POST as $key => $item) $_POST[$key] = addslashes($item);
 
foreach($_POST as $key => $item) $_POST[$key] = mysql_real_escape_string($item);
 
foreach($_POST as $key => $item) $_POST[$key] = htmlspecialchars($item, ENT_QUOTES);
 
foreach($_POST as $key => $item) $_POST[$key] = strip_tags($item);
 
foreach($_GET as $key => $item) $_GET[$key] = addslashes($item);
 
foreach($_GET as $key => $item) $_GET[$key] = mysql_real_escape_string($item);
 
foreach($_GET as $key => $item) $_GET[$key] = htmlspecialchars($item, ENT_QUOTES);
 
foreach($_GET as $key => $item) $_GET[$key] = strip_tags($item);
 
 
 
 
}
?>
[PHP] pobierz, plaintext 

Ten post edytował kayy 5.12.2008, 12:46:49

[Black-Berry]

Takie coś będzie chyba szybsze i lepsze bo nie sprawdzasz słowa union a za pomocą union ktoś mi się włamał:

[PHP] pobierz, plaintext 
<?php
while ($key = key($_GET)) {
        if (strlen($_GET[$key])>20 
        or eregi('union', $_GET[$key]) 
        or eregi(';', $_GET[$key]) 
        or eregi('=', $_GET[$key])) $_GET[$key] = 0;
        next($_GET);
    }
?>
[PHP] pobierz, plaintext 

[ucho]

Apostrofy na wyrażenie + mysql_real_escape_string wszystko rozwiązuje. Nie potrzebne są dodatkowe zabezpiecznie przeciwko np. UNION

I to powinien być koniec dyskusji na temat zabezpieczania przed Sql Injection.
Na xss itp. wystarczy samo traktowanie wszystkich danych wejściowych za pomocą htmlspecialchars() - będzie po danych w bazie/na stronie widać czy ktoś próbował coś kombinować (co może być wadą lub zaletą (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ale będzie to niegroźne.

kayy: poza tym żę twój kod nieco dziwnie wygląda to:
-najpierw strip_tags()
-potem htmlspecialchars()
-a tylko na danych które będziesz używał w zapytaniach mysql_real_escape_string()
addslashes jest niepotrzebne, *_real_escape_string wystarcza

A jeszcze w kwestii sql injection to powinno się używać przede wszystkim jakiegoś DBO, preapared statements, lub jakiejkolwiek biblioteki która daje coś w stylu PEARowego DB::quoteSmart ( escape i odpowiednia apostrofy dla stringa automatycznie niezależnie od bazy z której się korzysta)