Zabezpieczenia skryptów PHP, mysql_real_escape_string(); i inne tego typu... Opcje

[modern-web]

Witam wszystkich!
Ostatnio poczytałem bardzo dużo na temat SQL Injection oraz innych tego typu atakach.

Posiadam przykładowy skrypt:

[PHP] pobierz, plaintext 
$abc = trim($_POST['abc']);
mysql_real_escape_string($abc);
[PHP] pobierz, plaintext 

I moje pytania są następujące:

1. Jest on poprawny?
2. Jeśli tak to jak można dodatkowo zabezpieczyć zapytania do baz danych/formularze itp...
3. Jeśli nie to proszę o jakiś zamiennik lub wskazanie błędu

Z góry dzięki za pomoc.
Pozdrawiam.


P.S.
Przepraszam jeśli temat się powtarza, ale nigdzie nie znalazłem podobnej sytuacji do tej, w której się znajduję.

Ten post edytował modern-web 29.10.2010, 16:16:20

[Pawel_W]

nie, nie jest poprawny, bo żeby przefiltrować dane funkcją mysql_real... musisz nawiązać połączenie

[Crozin]

Temat: Bezpieczenstwo skryptow PHP

btw: jest 2010... użyj PDO zamiast katować się z mysql_*().

[modern-web]

No dobrze...
Rozumiem, że mam przekształcać wszystkie skrypty na bibliotekę PDO ?

Ten post edytował modern-web 29.10.2010, 16:46:03

[Mephistofeles]

Jeśli nie są zbyt skomplikowane i mózg ci przy tym nie wybuchnie to tak, przydałoby się.
Ale o ile działają i są bezpieczne to nie trzeba.

[modern-web]

O mnie nie masz się co martwić
Skrypty nie są łatwe. Prace nad nimi trwały 5 miesięcy.
W sumie jest to 7512 plików.

Ale fragmenty, które wymagają zabezpieczenia znajdują się w +- 10 plikach.
W związku z powyższym pytam się Was - ekspertów, jak mogę wywalić znaki specjalne ()<>'"/\{} itp. z formularza tak by nie szło wstrzyknąć własnego kodu.

Prosiłbym o przykład, który by mi to zilustrował - mysql_real_escape_string() / mysql_escape_string / ...
Oczywiście jestem otwarty na inne propozycje...

Pozdrawiam.

Ten post edytował modern-web 29.10.2010, 22:54:15

[konrados]

Użyj jeszcze htmlspecialchars, bo mysql_real_escape_string nic nie zrobi ze znaczkami < oraz >.
Ale to możesz robić przed wypluciem na ekran, niekoniecznie przed dodawaniem do bazy danych.

[jang]

z formularza tak by nie szło wstrzyknąć własnego kodu.

Możesz sobie "wyczyścić" wszystko przy pomocy np. http://dev.kohanaframework.org/projects/ko...aries/Input.php
albo z w/w tylko :

[PHP] pobierz, plaintext 
367 public function xss_clean($data, $tool = NULL)
[PHP] pobierz, plaintext 

[kilas88]

http://php.net/manual/pl/book.filter.php

btw.
http://dev.kohanaframework.org/projects/ko...aries/Input.php
nieźle - setka wyrażeń regularnych, odwołania do HTML Purifier (który składa się z kilkuset plików / setek wyrażeń), etc - to rozwiązanie musi być bardzo wolne, niemniej na pewno bezpieczne. pokazuje to tylko, jak bardzo warto zacząć korzystać z PDO i prepared statements / stored procedures gdzie tylko możemy.

[jang]

btw.
http://dev.kohanaframework.org/projects/ko...aries/Input.php
nieźle - setka wyrażeń regularnych, odwołania do HTML Purifier (który składa się z kilkuset plików / setek wyrażeń), etc - to rozwiązanie musi być bardzo wolne, niemniej na pewno bezpieczne. pokazuje to tylko, jak bardzo warto zacząć korzystać z PDO i prepared statements / stored procedures gdzie tylko możemy.

@kilas88 nie jestem zwolennikiem kohany a więc to nie wojna polsko-polska ale
1. nie setka wyrażeń regularnych a 10% z tego co podałeś
2. "odwołania do HTML Purifier" - aby skorzystać z HTML Purifier to musisz tego chcieć a więc
musiałbyś

[PHP] pobierz, plaintext 
$input->xss_clean($suspect_input, 'htmlpurifier');
[PHP] pobierz, plaintext 

a wystarczy

[PHP] pobierz, plaintext 
$input->xss_clean($suspect_input);
[PHP] pobierz, plaintext 

[modern-web]

Macie jeszcze kilka pomysłów?
Oczywiście pomijając ograniczenie z nieskończoności do np. 15 znaków.