SQL Injection/Insertion, Jak zapobiec włamaniu na stronę. Opcje

[the_foe]

[PHP] pobierz, plaintext 
<?php
$win="\xA5\xC6\xCA\xA3\xD1\xD3\x8C\x8F\xAF\xB9\xE6\xEA\xB3\xF1\xF3\x9C\x9F\xBF";
$iso="\xA1\xA6\xAC\xB1\xB6\xBC";
$preg="/[^".$win.$iso."A-Za-z0-9_ -!@#\$%\^*\(\)\+=\{\}:;,.\\|\/\?]/s";
 
foreach ($_GET as $k=>$v){
	$_GET[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_POST as $k=>$v){
	$_POST[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_COOKIE as $k=>$v){
	$_COOKIE[$k]=preg_replace($preg,"\\1",$v);
}
 
?>
[PHP] pobierz, plaintext 

i po sprawie, nikt nie podskoczy
(mozna jeszcze trimowac, ale preg_replace nie przpusci chyba zero byte?)

[kofaniutki_misio]

Witam,

Czytałem posty na temat zabezpieczeń na stronie i zebrałem wszystko do kupy i wyszło mi coś takiego:

[PHP] pobierz, plaintext 
<?
 
Function logs($msg) 
{ 
	global $HTTP_USER_AGENT, $_SERVER; 
	$url = sprintf("%s%s%s","http://",$_SERVER['HTTP_HOST'],$_SERVER['REQUEST_URI']); 
	$plik='http'; 
	if($_SERVER['HTTPS']=='on') 
	   { 
		  $plik.='s'; 
		} 
	$plik.='://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']; 
	if($_SERVER['QUERY_STRING']>' ') 
	{ 
		$plik.='?'.$_SERVER['QUERY_STRING']; 
	} 
	if ($_SERVER["HTTP_X_FORWARDED_FOR"]) 
	{ 
		if ($_SERVER["HTTP_CLIENT_IP"]) 
		{ 
			$mz_user['proxy']=$_SERVER["HTTP_CLIENT_IP"]; 
		}else 
		{ 
			$mz_user['proxy']=$_SERVER["REMOTE_ADDR"]; 
		} 
		$mz_user['ip']=$_SERVER["HTTP_X_FORWARDED_FOR"]; 
	}else 
	{ 
		if ($_SERVER["HTTP_CLIENT_IP"]) 
		{ 
			$mz_user['ip']=$_SERVER["HTTP_CLIENT_IP"]; 
		}else 
		{ 
			$mz_user['ip']=$_SERVER["REMOTE_ADDR"]; 
		} 
	} 
	$h=@fopen('logs/logs.txt','a'); // pamietaj aby ustawic chmod na 622 
	@fwrite($h,date('H:i:s d-m-Y').'	 ip: '.$mz_user['ip'].' proxy: '.$mz_user['proxy'].'  plik: '.$plik.'  url: '.$url.' atak na zmienną: $'.$msg.' '); 
	@fclose($h); 
	return $msg; 
} 
 
//zabezpieczenia zmiennych
 
$akcja = $_GET['akcja'];
$id = (int)$_GET['id'];
 
preg_replace( '%<script>%', '', $akcja);
preg_replace( '%UNION%', '', $akcja);
 
$akcja = mysql_escape_string($akcja); 
 
if(!ereg ("[a-z_]", $akcja)) {
   logs('akcja');
   die('Naruszenie zasad bezpiczeństwa! Twoj adres IP został pobrany.');}
 
if(!ereg ("[0-9]", $id)) {
   logs('id');
   die('Naruszenie zasad bezpiczeństwa! Twoj adres IP został pobrany.');}
 
 
//koniec zabezpiczeń zmiennych
 
?>
[PHP] pobierz, plaintext 

funkcja logs wyrzuca do pliku bardzo przydatne informacje o gościu który próbuje cos namieszać. W postaci np:

"18:21:38 26-02-2006
ip: 127.0.0.1
proxy:
plik: http://localhost/~www/zabezpieczenia.php
url: http://localhost/~www/zabezpieczenia.php
atak na zmienną: $akcja"


Co tu jest niepotrzebne? a co źle!!

Dodam ze metoda ma pobierac z linku dwie zmienne $akcja i $id dla późniejszego użycia zapytania SQL. $akcja ma zawierać tylko ciąg małych literek a $id tylko liczbe.

Pozdrawiam.

[vedeney]

Sorry that not Polish,
but your functions are so funny

e.g.
Why do you make global $_SERVER??

[PHP] pobierz, plaintext 
<?php
global $HTTP_USER_AGENT, $_SERVER;
?>
[PHP] pobierz, plaintext 

I can`t explane it.

[PHP] pobierz, plaintext 
<?php
preg_replace( '%UNION%', '', $akcja)
?>
[PHP] pobierz, plaintext 

AND

Kod

UNI/**/ON

OOPS

[PHP] pobierz, plaintext 
<?php
 
foreach ($_GET as $k=>$v){
	$_GET[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_POST as $k=>$v){
	$_POST[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_COOKIE as $k=>$v){
	$_COOKIE[$k]=preg_replace($preg,"\\1",$v);
}
?>
[PHP] pobierz, plaintext 

Have you ever here about $_REQUEST? No?

Ten post edytował vedeney 28.02.2006, 14:34:10

[kofaniutki_misio]

hej vedeney. funkcja logs, jest przepisana. Global mozna wyrzucic. Ale czemu nie rozumiesz zastosowania tego kodu:

[PHP] pobierz, plaintext 
<?php
preg_replace( '%UNION%', '', $akcja);
?>
[PHP] pobierz, plaintext 

chcialem żeby nie mozna bylo użyć polecenia UNION.

[PHP] pobierz, plaintext 
<?php
http://mojastron.php?id=10 UNION SELECT TOP 1 TABLE_NAME FROM
INFORMATION_SCHEMA.TABLES--
?>
[PHP] pobierz, plaintext 

wyciągania wszystkich tabel.

[dr_bonzo]

[PHP] pobierz, plaintext 
<?php
$age = $_GET[ 'age' ]; // pomiijam sprawdzanie czy to w ogole istnieje
$name = $_GET['name' ];
 
$intAge = intval( $age )
$strName = mysql_real_escape( $name ); // moglem pomylic nazwe funkcji
$sql = "SELECT some_column FROM users WHERE age = " . $intAge . " AND name = '" . $strName . "'";
?>
[PHP] pobierz, plaintext 

i to tyle, zadne pregi, bo po co

gdy pod $age wstawisz "UNION .....blalba.... --"
$intAge == 0

gdy pod $name wstawisz "UNION .....blalba.... --"
sql wyglada tak

[SQL] pobierz, plaintext 
SELECT some_column 
FROM users
 WHERE age = 0 AND name = 'UNION.... blalbba..--'
[SQL] pobierz, plaintext 

bylo to juz wspominane na poczatku (lub dalej ) tego watka ale zginelo w masie postow probujacych to uzyskac.

[vedeney]

Ok! I`ve understand you, But your code didn`t prevent such hack as

Kod

http://mojastron.php?id=10 UN/**/ION SEL/**/ECT bla bla bla....

Which will be executed without any problems;
or

Kod

http://mojastron.php?id=BENCHMARK(1000000,MD5(NOW()))

or

Kod

http://mojastron.php?id=BENCHMARK(1000000,BENCHMARK(1000000,BENCHMARK(1000000,MD5(NOW()))))

It`s DOS through MySql-injection

[the_foe]

[PHP] pobierz, plaintext 
<?php
foreach ($_GET as $k=>$v){
	$_GET[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_POST as $k=>$v){
	$_POST[$k]=preg_replace($preg,"\\1",$v);
}
foreach ($_COOKIE as $k=>$v){
	$_COOKIE[$k]=preg_replace($preg,"\\1",$v);
}
?>
[PHP] pobierz, plaintext 

Have you ever here about  $_REQUEST? No?

Yes, I've heard about $_REQUEST. But it's another stupid thing like register_globals on is. Let the manual speak:

$_REQUEST
    Variables provided to the script via the GET, POST, and COOKIE input mechanisms, and which therefore cannot be trusted. The presence and order of variable inclusion in this array is defined according to the php variables_order configuration directive. This array has no direct analogue in versions of php prior to 4.1.0. See also import_request_variables().

Ain't simple?
if you use _REQUEST, as foreach source, you won't be able to set cookie, set GET, set POST with the same string name! You will be forced to remember about it all time.

Additionaly, here's no problem with my code, you can use _REQUEST in spite of. If you realy like it.

[LamaMASTER]

zabezpieczenie w stylu:

[PHP] pobierz, plaintext 
<?php
$query = 'update `uzytkownicy` set `pole`="'.$dane.'" where `id`="'.$id.'";';
?>
[PHP] pobierz, plaintext 

to jak juz powiedziano zadne zabezpieczenie a pozatym zmnijsza wydajnosc zapytania, umieszczanie wartosci liczbowych w momiedzy " " powiduje iz MySQL mysli ze ma do czynienia ze znakami (stringami) i niepotzrebnie musi konwertowac typy.

Bzdura. Zapisz taki jest jak najbardziej szybszy, bo kod nie jest parsowany (bo jest w ' '), a zapisując zmienną w cudzysłowiach w kodzie ("coś tam $zmienna") powoduje parsowanie kodu i dłuższe sprawdzanie zmiennych. Nie wprowadzajcie ludzi w błąd.

przyklad:

[PHP] pobierz, plaintext 
<?php
 
$sql = mysql_query("SELECT * FROM news WHERE id=".$_GET['id']);
 
?>
[PHP] pobierz, plaintext 

wywołanie normalne:

Kod

news.php?id=1
news.php?id=25
itd

wywołanie zmodyfikowane przez kogostam
np.

Kod

news.php?id=1;DROP%20TABLE%20news;

Ee tam, zonwu zonk, przecież mysql_query pozwala na wysłanie tylko jednego zapytania, więc to co pokazałeś nic nie da.

Więcej tematu czytać mi się nie chciało, ale mam nadzieję, że nie ma tam dalej więcej bzdur

[Pawel86]

A takie rozwiazanie:

[PHP] pobierz, plaintext 
<?php
 
 function ParseText(&$Text)
   {
      $Text=trim($Text);
      if(get_magic_quotes_gpc())
      {
         $Text = stripslashes($Text);
      }
      $Text = htmlspecialchars($Text, ENT_QUOTES);
      $Text = str_replace('\\0','\\\\0',$Text);
      $Text = str_replace('\\t','\\\\t',$Text);
      $Text = str_replace('\\n','\\\\n',$Text);
      $Text = str_replace('\\r','\\\\r',$Text);
      return $Text;
   }
 
   function SecureSuperglobalsTables()
   {
      $this->SecureTable($_POST);
      $this->SecureTable($_GET);
      .....
   }
 
   function SecureTable(&$Table)
   {
      if(!is_array($Table)) return false;
      foreach($Table as $Id=>$Row)
      {
         if(is_array($Row))
         {
            $this->SecureTable($Table[$Id]);
         }
         else $this->ParseText($Table[$Id]);
      }
   }
 
?>
[PHP] pobierz, plaintext 

XSS-y wykluczone, ' i " zamieniane na bezpieczne da sie to obejsc?

Ten post edytował Pawel86 6.04.2006, 07:51:35

[Janek111]

Mam taki problem:
Jesli uzyje mysql_real_escape_string i jesli jest wlaczone magic quotes to otrzymam przykladowo ze stringu jakis'wyraz, string jakis///'wyraz. Moglbym zrobic tak:

[PHP] pobierz, plaintext 
<?php
 
if(!get_magic_quotes_gpc())
   $string = mysql_real_escape_string($string);
 
?>
[PHP] pobierz, plaintext 

tylko, że wtedy, jeśli jest wlaczone magic_quotes to stosowanie tej funkcji jest bezsensu - gdy uzyje addslashes wyjdzie na to samo.
jak mozna rozwiazac ten problem?? Moze poprostu zostac przy addslashes ?

Ten post edytował Janek111 17.04.2006, 10:54:39

[Jarod]

Dorzucę się do tego wątku i powiem, że moim zdaniem najlepszym zabezpieczeniem jest:

1. ustawienie w php.ini opcji get_magic_quotes_gpc na ON

2. stosowana równolegle z powyższym funkcja czyszcząca otrzymane dane - od razu uprzedzam, że wbrew nazwie nie dotyczy ona tylko danych przesyłanych metodą POST:

[PHP] pobierz, plaintext 
<?php
 
function OczyscPost($Zmienna, $Rozmiar)
{
		if (get_magic_quotes_gpc())
		{
				$Zmienna = stripslashes($Zmienna);
		}
		$Zmienna = trim(strip_tags(str_replace(""", "", $Zmienna)));
		$Zmienna = substr(str_replace("'","", $Zmienna),0,$Rozmiar);
		$Zmienna = sprintf("%s",$Zmienna);
		return $Zmienna;
}
 
?>
[PHP] pobierz, plaintext 

3. Funkcja zapewniająca dodatkowe filtrowanie dla identyfikatorów, przekazywanych w URL'u:

[PHP] pobierz, plaintext 
<?php
 
function DoCyfry($Zmienna)
{
		$Zmienna = intval($Zmienna);
		if(is_int($Zmienna))
		{
				return $Zmienna;
		}
		else
		{
				return 0;
		}
}
 
?>
[PHP] pobierz, plaintext 

Zastosowanie:

[PHP] pobierz, plaintext 
<?php
 
$Nazwisko = OczyscPost($_POST['Nazwisko'], 40);
$ID = DoCyfry(OczyscPost($_GET['ID'], 10));
 
?>
[PHP] pobierz, plaintext 

Jakieś uwagi?

Pozdrawiam,
K

Hmm.. Do czego jest właściwie to UNION? Może ktoś poda przykład? Bo ja się nie zetknąłem z takim zapytaniem

[em1X]

A szukac to nie potrafisz?

[SQL] pobierz, plaintext 
SELECT * FROM text UNION
SELECT * FROM news
[SQL] pobierz, plaintext 

czyli sklejanie dwoch zapytan do bazy

[Jarod]

Próbując podsumować dyskusję, możnaby powiedzieć, że aby zabezpieczyć się przed SQL Injection trzeba filtrować każdą zmienną przychodzącą, czyli:

1. Jeśli spodziewamy się liczby to każdą zmienną traktujemy

[PHP] pobierz, plaintext 
<?php
intval($zmienna);
?>
[PHP] pobierz, plaintext 

2. Jeśli spodziewamy się ciągu to stosujemy

[PHP] pobierz, plaintext 
<?php
addslashes($zmienna);
?>
[PHP] pobierz, plaintext 

Czy to wystarczy?


A co w takim przypadku. Mamy spis użytkowników w systemie, który załóżmy że wygląda tak.



Przy każdym użytkowniku jest link z opcją usunięcia konta. Z tym linkiem, przesyłany jest numer ID danego klienta, żeby wiedzieć, którego klienta usunąć z bazy (ID jest kluczem głównym).

Teraz ktoś może zmodyfikować URL, np zamiast usunąć konto 2 (http://jakasstrona/usun.php&id=2) może wpisać dowolny inny numer, np (http://jakasstrona/usun.php&id=1) i skasuje konto admina.

Jak się przed tym zabezpieczyć?

Stosuję w każdym skrypcie funkcję weryfikującą, któa sprawdza czy użytkownik jest zalogowany i czy ma odpowiednie prawa. Ale wiem, że to nie wystarczy.

Ten post edytował J4r0d 30.05.2006, 07:24:43

[Termit_]

Wówczas zawsze należy robić dodatkowe confirmy - formularze typu "Czy na pewno chcesz.... [ TAK ] [ NIE ]"

[Jarod]

Wówczas zawsze należy robić dodatkowe confirmy - formularze typu "Czy na pewno chcesz.... [ TAK ] [ NIE ]"

Stosuję..

[thornag]

Wedlug mnie mozesz jedynie sprawdzic czy Id nie jest elementem wyznaczonego przez Ciebie a niedozwolonego zbioru.

Zostaja jedynie confirmy, tutaj wszystko wydaje sie kwestia dostepu. Jesli dasz dostep do tego panelu, to po co meczyc sie ze zmiana URLa skoro wystarczy kliknac No chyba ze kazdy uzytkownik ma inne prawa i innych uzytkownikow ktorych moze edytowac (taka relacja su/admin/sub-admin wtedy wspommniany przezemnie zbior nalezalo by uzaleznic od uzytkowanika.

[eai]

@J4r0d Bardzo prosto się można zabezpieczyć

Zastosuj sume kontrolną. jakasstrona/usun.php&id=2&checksum=f3sxSdf32vx3sGx

Napisz własny wzór generowania sumy kontrolnej oraz jej sprawdzania.
Np.

[PHP] pobierz, plaintext 
<?php
 
  function checksum ($id) {
 
  return substr(md5('aXq23' . $id), 1, 3); 
 
  }
 
  if (checksum ($id) == $_GET['checksum']) {
	 // .... Usuwamy itp...
 
	 }
?>
[PHP] pobierz, plaintext 

Ten post edytował eai 2.08.2006, 00:20:53

[Turgon]

Zgadzam się z Eai. Ja stosuje sumy plus sesje oraz grupy uprawnień. Jeśli użytkownik nie ma odpowiedniego levela odrazu acces denied w głównym pliku administracyjnym. Nie pozwalam nawet dojść do uruchomienia reszty .
Co do tego usuwania adminów to banał jest. Dodajemy do filtrowania requestów :

[PHP] pobierz, plaintext 
<?php
if($_GET['id'] == '1')
{
return false;
}
?>
[PHP] pobierz, plaintext 

i gotowe . Czyż nie trudne ?
Po za tym thornag używaj głównego pliku administracyjnego przez który jest jedyna możliwość użycia funkcji ACP etc. . To dodatkowe zabezpieczenie i trochę utrudnia życie, ale warto. Dodatkowa bariera dla włamywacza...

[Jarod]

@J4r0d Bardzo prosto się można zabezpieczyć

Zastosuj sume kontrolną. jakasstrona/usun.php&id=2&checksum=f3sxSdf32vx3sGx

Napisz własny wzór generowania sumy kontrolnej oraz jej sprawdzania.
Np.

[PHP] pobierz, plaintext 
<?php
 
  function checksum ($id) {
 
  return substr(md5('aXq23' . $id), 1, 3); 
 
  }
 
  if (checksum ($id) == $_GET['checksum']) {
	 // .... Usuwamy itp...
 
	 }
?>
[PHP] pobierz, plaintext 

Generujesz - ok. A w jaki sposób chcesz przetrzymywać tą sume i gdzie?

[eai]

@J4r0d Przecież to jest jeszcze prostsze

Przykład:

checksum.php

[PHP] pobierz, plaintext 
<?php
 
  function checksum ($id) {
  return substr(md5('aXq23' . $id), 1, 3); 
  }
 
?>
[PHP] pobierz, plaintext 

admin.php

[PHP] pobierz, plaintext 
<?php
 
//...
 
include 'checksum.php';
 
 
function foo () { //Jakas tam funkcja generujaca linki do panelu admina bla bla bla...
$row = ...; //Tablica np. wynik z mysql
echo 'strona.com?usun=' . $row['id'] . '&checksum=' . checksum($row['id'];
 }
 
 
function delete () {
if(checksum ($_GET['id']) == $_GET['checksum'])  {
 
// Usuwasz
 
}
}
 ?>
[PHP] pobierz, plaintext 

Prościej się wytłumaczyć nie da