[php] SQL Injection Opcje

[pablo114]

Napisałem skrypt ale nie potrafie go zabezpieczyć. Jest to skrypt rejestracji wprowadzający login i hasło do bazy MSSQL

czy funkcja addslashes wystarczy? jeśli możecie to pomóżcie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
<?
#-- Fragment gdzie podajemy dane do połączenia z MSSQL'em --#
$host = "localhost";  
$user = "login_sql";
$userpass = "haslo_sql";
$baza = "nazwa_bazy";
 
#-- Łączenie się z MSSQL'em i wybór bazy danych --#
$polaczenie = @mssql_connect($host,$user,$userpass);
@mssql_select_db($baza,$polaczenie);
 
#-- Tu tworzymy zmienne, pobierające dane z formularza --#
$login = $_POST['login'];
$haslo = $_POST['haslo'];
$potwierdzenie = $_POST['haslo2'];
 
#-- Sprawdzamy czy hasła w polach formularza są identyczne, jeśli nie, skrypt kończ
y swoje działanie --#
if ($haslo != $potwierdzenie) // Znak != oznacza różny
{
die ('Hasła się nie zgadzają, spróbuj ponownie<br><a href="reg.php">wróc</a>');
}
 
#-- Zmienna do której przypisane jest zadanie SELECT --#
$sprawdzlogin = mssql_query("SELECT LOWER(memb___id) FROM MEMB_INFO WHERE LOWER(memb___id) = ('$login')") or die;
 
#-- Warunek sprawdzający czy w bazie nie ma już identycznego loginu, jeśli jest, sk
rypt kończy swoje działanie i wyświetla odpowiedni komunikat --#
if (mssql_num_rows($sprawdzlogin)) 
		{
		die ('Takie konto juz istnieje, wybierz inna nazwe<br><a href="reg.php">wróc</a>');
		 }
#-- kolejny warunek, sprawdza pola w formularzu czy są wypełnione, jeśli nie wyświe
tla odpowiednią wiadomość --#
	elseif (empty($login) || empty($haslo) ) // Znak || oznacza słowo LUB
		{
		die ('Wypełnij wszystkie pola<br><a href="reg.php">wróc</a>');
		}
 
#-- I teraz, po przejściu wszystkich warunków, skrypt wrzuca dane do bazy danych, j
eśli się nie powiedzie wyświetla odpowiedni komunikat --#
mssql_query("INSERT INTO MEMB_INFO 
 
(memb_guid,memb___id,memb__pwd,memb_name,sno__numb,post_code,addr_info,addr_
d
 
eta,tel__numb,mail_addr,phon_numb,fpas_ques,fpas_answ,job__code,appl_days,mod
 
i_days,out__days,true_days,mail_chek,bloc_code,ctl1_code) VALUES 
 
('1','$login','$haslo','Imie', 
 
'1','1234','11111','personalid','12343','email','email','pytanie','odpowiedz'
 
,'1',getdate(),getdate(),getdate(),getdate(),'1','0','1')") || die('Niestety, zakładanie konta nie powiodło się, spróbuj ponownie<br><a href="reg.php">wróc</a>');
 
#-- Po prawidłowym zakończeniu wpisywania danych do bazy, komunikat --#
echo "Konto zostało utworzone, dziękujemy"; //echo służy do wyświetlania tekstu
 
?>
[PHP] pobierz, plaintext 

[Kicok]

Temat: SQL Injection Insertion albo http://www.google.pl/search?hl=pl&q=sql+injection


Żeby się porządnie zabezpieczyć przed SQL Injection musisz mieć jakieś pojęcie o PHP i SQL. Po pierwsze zapamiętaj, że po stronie PHP układanie jest tylko zapytanie (napis), które wysyłane jest to serwera baz danych. Złośliwy użytkownik może w formularzu podać takie dane, które zmienią działanie zapytania, i przed tym trzeba się zabezpieczać. Przykład:

[PHP] pobierz, plaintext 
<?php
 
	$login = $_POST['login'];
	$haslo = $_POST['haslo'];
 
	$zapytanie = "SELECT * FROM uzytkownicy WHERE ( login = '" . $login . "') AND ( haslo = '" . $haslo . "' )";
	$result = mssql_query( $zapytanie );
 
?>
[PHP] pobierz, plaintext 

Jeśli użytkownik poda w formularzu:
login: admin
hasło: iskierka
To zapytanie będzie wyglądało tak:
SELECT * FROM uzytkownicy WHERE ( login = 'admin' ) AND ( haslo = 'iskierka' )

Jeśli urzytkownik poda w formularzu:
login: admin' ) --
hasło: cokolwiek
To zapytanie będzie wyglądało tak:
SELECT * FROM uzytkownicy WHERE ( login = 'admin' ) -- ') AND ( haslo = 'cokolwiek' )

Wszystko co znajduje się po "--" jest traktowane jako komentarz, serwer baz danych tego nie widzi. Czyli lekko preparując wysyłane dane możemy pobrać informacje o adminie nie znając jego hasła.
Żeby MSSQL rozpoznał apostrof jako "apostrof", a nie jako koniec napisu, stosuje się tzw. znaki ucieczki. Dla MSSQL jest to drugi apostrof. Więc jeśli zmienne $login i $haslo przepuścisz przez funkcję, którą podałem wyżej, to nie uda się wykonać ataku SQL Injection:

[PHP] pobierz, plaintext 
<?php
 
	function secure( $string )
	{
		return str_replace( "'", "''", $string );
	}
 
 
	$login = $_POST['login'];
	$haslo = $_POST['haslo'];
 
	$login = secure( $login );
	haslo = secure( $haslo );
 
 
	$zapytanie = "SELECT * FROM uzytkownicy WHERE ( login = '" . $login . "') AND ( haslo = '" . $haslo . " )";
	$result = mssql_query( $zapytanie );
 
?>
[PHP] pobierz, plaintext 

Po zastosowaniu funkcji secure() zapytanie będzie miało postać:
SELECT * FROM uzytkownicy WHERE ( login = 'admin'') -- ' ) AND ( haslo = 'cokolwiek' )
i nie zwróci ono nic, bo w bazie danych najprawdopodobniej nie będzie nikogo z loginem: "admin') -- " ;]


Trochę inaczej należy patrzeć na zabezpieczenie danych, które nie są umieszczane w apostrofach, np:

[PHP] pobierz, plaintext 
<?php
 
	$id = $_GET['id'];
 
	$zapytanie = 'SELECT * FROM tabela WHERE id = ' . $id;
	$result = mssql_query( $zapytanie );
 
?>
[PHP] pobierz, plaintext 

W takim przypadku trzeba stosować intval" title="Zobacz w manualu PHP" target="_manual, ctype_digit" title="Zobacz w manualu PHP" target="_manual czy inne techniki, o których mi się nie chce pisać, a które znajdziesz pod linkami które podałem powyżej.

Ten post edytował Kicok 14.07.2007, 20:45:26