 SQL Injection |
| SQL Injection |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%) 
 |
Chcialbym sie dowiedziec jak najlepiej sie zabezpieczyc przed 'atakami' SQL Injection.
mam powiedzmy takie zapytanie do bazy mysql: [sql:1:d1814ccdee] select * from news WHERE nr = '$show' [/sql:1:d1814ccdee] I czy to wystarcza. Bo spotykalem sie z: Kod $show=intval($show);
select * from news WHERE nr = '$show' Dla mnie to jest niepotrzebne bo po 'testach' ktore przeprowadzilem moge powiedziec ze uzycje intval jest niepotrzebne bo w zapytaniu sql sa ' '. Wiec potrzebne czy niepotrzebne, a jak np. $show to ma byc tekst a nie liczba to czy wystarcza '' czy trzeba jeszcze robic addslashes() itp. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 493 Pomógł: 0 Dołączył: 14.06.2003 Skąd: Tomaszów Lubelski/Rzeszów Ostrzeżenie: (0%)
|
te ' ' są wymagane przez mysql, a nie do zabezpieczenia przez sqlinjection (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
ŹŁe. Moze nie wymagane, ale potrzebne, bo jak np. pod zmienna $show bedzie wartość np. where a nie bedzie '' to ci wypluje bład (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Przy wartościach numerycznych samo intval() wystarczy. Natomiast sprawa sie komplikuje przy stringach. :? |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 65 Pomógł: 2 Dołączył: 25.08.2003 Skąd: Lublin Ostrzeżenie: (0%)
|
|
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 691 Pomógł: 0 Dołączył: 6.08.2003 Ostrzeżenie: (0%)
|
Cytat Wiec potrzebne czy niepotrzebne, a jak np. $show to ma byc tekst a nie liczba to czy wystarcza '' czy trzeba jeszcze robic addslashes() itp.
W przypadku MySQLa addslashes akurat jest w porządku, ale ogólnie to nie jest funkcja do tego. Korzystając z tej bazy lepiej uzywać funkcji mysql_escape_string gdyż służy ona właśnie do tych celów (mimo, iż robi praktycznie to samo co addslashes). Poza tym w niektórych bazach (np. Sybase albo MSSQL) eskejpowanie polega na powieleniu eskejpowanego znaku, a nie poprzedzeniu go backslashem i wtedy addslashes nie tylko nie pomoże ale i zaszkodzi. |
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%)
|
Cytat te ' ' są wymagane przez mysql, a nie do zabezpieczenia przez sqlinjection (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
ŹŁe. Moze nie wymagane, ale potrzebne, bo jak np. pod zmienna $show bedzie wartość np. where a nie bedzie '' to ci wypluje bład (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Przy wartościach numerycznych samo intval() wystarczy. Natomiast sprawa sie komplikuje przy stringach. :? jak pod $show podstawimy where to wypluje blad ale wlasnie wtedy mozna uzyc tego bledu. A jak sa ' ' to mozna podstawiac do woli where union itp. i nie bedzie bledu. Czyli to jest zabezpieczenie... Wiec tak: ja uwazam ze ' ' wystarcza i nie potrzeba intval i mysql_escape_string czy addslashes bo ' ' nie da sie ominac. Myle sie? To moze mi ktos udowodni ze da sie Np. przy: SELECT * from news WHERE nr = '$show' ominac to i dorzucic AND autor=tomasz. |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 493 Pomógł: 0 Dołączył: 14.06.2003 Skąd: Tomaszów Lubelski/Rzeszów Ostrzeżenie: (0%)
|
Cytat Wiec tak:
ja uwazam ze ' ' wystarcza i nie potrzeba intval i mysql_escape_string czy addslashes bo ' ' nie da sie ominac. Myle sie? To moze mi ktos udowodni ze da sie Np. przy: SELECT * from news WHERE nr = '$show' ominac to i dorzucic AND autor=tomasz. Chyba troche nierozumiesz, a nwet wiecej niz troche (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Zawsze pod $show mozna podstawić równiz apostrofy, tak aby sie wszystko zgadzało (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) to nic trudnego Podsumowując same wstawienie '$show' nie pomoże (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) |
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%)
|
Jeszcze nie dodalem ze mam ustawione magic_quotes_gpc na On.
Przy probie jakiegokolwiek dodania ' w $show beda bledy... Wiec mysle ze magic_quotes_gpc + '' w zupelnosci wystarcza. |
|
|
|
|
Post
#8
|
|
|
Grupa: Przyjaciele php.pl Postów: 215 Pomógł: 0 Dołączył: 28.10.2003 Skąd: - Ostrzeżenie: (0%)
|
a może ...
[php:1:2ddeae2699]<?php (int)$_GET['show'] (int)$_POST['show'] ?>[/php:1:2ddeae2699] w przypadku np. stringa wartosc zmiennej wyniesie 0 |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 6.09.2003 Ostrzeżenie: (0%)
|
Ale mi chodzi o to czy te intval czy (int) czy cokolwiek jest potrzebne.
Czy magic_quotes_gpc -> On + ' ' wystarcza. Ja uwazam ze wystarcza a jezeli nie to niech ktos pokaze na jakims przykladzie.. |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 384 Pomógł: 0 Dołączył: 3.04.2003 Skąd: Chorzow Ostrzeżenie: (0%)
|
np. kiedy escapowanie prez magic_qutes rozni sie od wymaganego przez baze danych, jak dane do bazy pochodza np. z innego zapytania (czasem trzeba).
Generalnie uczy to lenistwa i predzej czy pozniej okaze sie ze nie zabezpieczysz sie gdzies w miejcu gdzie magic_quotes nie dociera i nawet nie bedziesz wiedzial co sie dzieje. |
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 26.11.2003 Ostrzeżenie: (0%)
|
Co musze poprawić dodać aby ta funkcja była uniwersalna (powiedzmy (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ) i mógł ją używać do wsyzstkich danych z POST
Mam do wrzucania do bazy danych dużo pól tekstowych. [php:1:fbcaa27055]<?php function czysc($czysc) { $czysc = mysql_escape_string($czysc); $czysc = stripslashes(trim($czysc)); $czysc = nl2br($czysc); return $czysc; } $kod= czysc($_POST["kod"]); ... ... $klery= "INSERT INTO dziadek VALUES (0,"".$kod."""; $rezultat= mysql_query($klery) or die(mysql_error()); ?>[/php:1:fbcaa27055] |
|
|
|
 |
|
Aktualny czas: 22.08.2025 - 22:05 |
