Poważny problem z mysql Opcje

[denis94]

Witam. Posiadam dość dużą stronę internetową. Osób online jest czasami ponad 200.
Strona jest pisana przeze mnie w php, zawiera dużo formularzy. Użytkownicy mogą sobie dodawać usuwać i wyświetlać informacje/rekordy zapisane w bazie mysql.

Od jakiegoś czasu użytkownicy skarżą się, że znikają im dane zapisane w bazie. Na stronie jest system tworzenia logów który zapisuje każdy ruch i akcję wykonaną na stronie. W logach nie ma żadnej informacji, że ktokolwiek coś usunął.

Wczoraj ze strony zniknęło kilka długich artykułów - dodatkowo dostęp do formularza który służy do usuwania tych artykułów posiadam tylko i wyłącznie ja tak więc nikt inny nie mógł ich usunąć.

Pisałem do administracji hostingu i dostałem odpowiedź, że rekordy w bazie nie mogą się same usuwać i mój skrypt jest prawdopodobnie podatny sql injection.

Podczas pisania skryptu zastosowałem różne zabezpieczenia, adslashes, warunki sprawdzające czy user ma odpowiednie prawa i czy treść którą chce usunąć należy do niego itp.

Dziwi mnie sytuacja z artykułami ponieważ tylko ja fizycznie mogę je usunąć.

Dziwne jest też też to, że logi nie rejestrują tych operacji tak więc wydaje mi się, że rekordy nie są usuwane przez stronę/skrypt tylko jakoś z zewnątrz.

Czy ktoś może spotkał się z podobną sytuacją? Zupełnie nie wiem czego to może być przyczyna. Proszę o pomoc.

[denis94]

Dziękuję, skorzystałem trochę z prezentacji. Niektóre z zabezpieczeń tam pokazanych miałem zastosowanych już wcześniej.

Przyszedł mi jeszcze jeden pomysł do głowy.
Mam ustawionego crona na skrypt który co 10 minut wyszukuje z pośród kilku tysięcy rekordów te, spełniające warunek WHERE a następnie je edytuje i wykonuje UPDATE. To wszystko w pętli for.
Czy możliwe jest, że ten skrypt może powodować usuwanie danych?

Atak sql injection wydaje się coraz mniej prawdopodobny ponieważ rekordy nie znikają jakoś równomiernie tylko np raz w tygodniu poleci 100 rekordów a potem jest kilka dni spokoju i znów...
Próbowałem samodzielnie dokonać ataku sql injection na moją stronę lecz nie udało mi się to nawet zmieniając dane post w locie. W każdym formularzu jest addlsahes, mysql_escape_string oraz valint (jeżeli potrzeba).

Jeżeli można już wykluczyć atak poprzez formularz zamieszczam cały skrypt który jest uruchamiany przez crona, może zrobiłem w nim jakiś głupi błąd którego nie potrafię odnaleźć. (tak wiem, bałagan w kodzie ale działa prawidłowo)

Skrypt sprawdza wszystkie APLIKACJE. Jeżeli APLIKACJA ma STATYSTYKI=1 to wtedy wtedy skrypt sprawdza czy w tabeli STATYSTYKI znajduje się dj o nazwie $dj. Jeżeli istnieje to go edytuje dodając mu 10 minut. Jeżeli go nie ma to go utworzy i doda mu 10 minut.

[PHP] pobierz, plaintext 
<?php
set_time_limit(120);
$starttime = time();
// LACZENIE Z BAZA DANYCH
function connect()
{
include('database.php');
if (!($db = @mysql_pconnect($host, $user,  $pass)))
{
return false;
}
if (!mysql_select_db($name, $db))
{
return false;
}
return $db;
}
$db = connect();
 
$zwieksz = 10; // ILE MINUT DODAWAĆ
$blokowac = 6; // PO ILU SPRAWDZENIACH BLOKOWAC
$zapytanie1 = "SELECT * FROM aplikacja WHERE statystyki>0 ORDER BY id ASC";  //pobranie rekordow
$wynik1 = mysql_query($zapytanie1);
if (!$wynik1 || mysql_num_rows($wynik1)<1)
{
echo "nie wykonano ";
}else{
for ($sip=0; $sip<mysql_num_rows($wynik1); $sip++)
{
$wiersz1 = mysql_fetch_array($wynik1);
$haslo = addslashes($wiersz1['haslo']);
$idaplikacji = stripslashes($wiersz1['id']);
$ip = addslashes($wiersz1['ip']);
$port = addslashes($wiersz1['port']);
$dzien = addslashes($wiersz1['dzien']);
$ileoffline = addslashes($wiersz1['ileoffline']);
if($ip !== "" && $port !== "" && $haslo !== "")
{
echo "$idaplikacji<br>";
$miesiac = date('n');
$panelresult = "SELECT * FROM statystyki WHERE aplikacja='$idaplikacji' AND dj='$dj' AND miesiac='$miesiac'";
$panelwynik = mysql_query($panelresult);
if (!$panelwynik || mysql_num_rows($panelwynik)<1)
{
$zapytanielog = "INSERT INTO statystyki SET aplikacja='$idaplikacji', dj='$dj', minuty='$zwieksz', max='$ile', miesiac='$miesiac', stan='$stan'";
$wyniklog = mysql_query($zapytanielog); 
}else{
$wiersz = mysql_fetch_array($panelwynik);
$minutydj = addslashes($wiersz['minuty']);
$maxdj = addslashes($wiersz['max']);
if($ile > $maxdj)
{
$max2 = $ile;
}else{
$max2 = $maxdj;
}
$suma = $minutydj+$zwieksz;
$zapytanie2 = "update statystyki set minuty='$suma', max='$max2' WHERE idaplikacji='$idaplikacji' AND dj='$dj' AND miesiac='$miesiac'";
$wynik2 = mysql_query($zapytanie2);
}
 
if($dj == "off")
{
$dzien2 = date('dm');
$io = $ileoffline+1;
$zmien = mysql_query("UPDATE aplikacja SET dzien='$dzien2', ileoffline='$io' WHERE id='$idaplikacji'");
 
if($ileoffline >= $blokowac && $dzien2 == $dzien)
{
$zmien = mysql_query("UPDATE aplikacja SET dzien='0', ileoffline='0', statystyki='0' WHERE id='$idaplikacji'");
// LOGI - ZAPIS
$datalog = date("H:i d.m.Y");
$zapytanielog2 = mysql_query("INSERT INTO logi SET apliakcja='$idaplikacji', login='<font color=\"red\">SYSTEM</font>', akcja='Zaktualizowano dj-a', data='$datalog', ip='system'");
}
}else{
if($ileoffline !== "0" || $dzien !== "0")
{
$zmien = mysql_query("UPDATE aplikacja SET dzien='0', ileoffline='0' WHERE id='$idaplikacji'");
}
}
 
}
$times = time();
$times2 = $times-$starttime;
if ($times2 > 120){ echo "Przekroczono czas !"; break;}
}
}
?>
[PHP] pobierz, plaintext 

Czy ograniczenie czasowe w skrypcie może mieć takie skutki?

Proszę o pomoc.

Ten post edytował denis94 28.02.2011, 16:57:23