[MySQL][PHP]Czy taka forma z mysql jest bezpieczna?, bezpieczeństwo zapytań do bazy danych Opcje

[qpeace1]

Witam, proszę o pomoc, czy takie zapytanie jest bezpieczne z punktu widzenia ataku na moją stronę?:

[PHP] pobierz, plaintext 
<?php 
	include ('polacz_z_baza_danych.inc'); 
	mysql_select_db("nazwa_bazy_danych")or die("Wystąpił błąd podczas wybierania bazy danych");		
 
	$podpis = mysql_real_escape_string($_POST['podpis']);                              
	$tresc = mysql_real_escape_string($_POST['tresc']);
 
 	if(empty($tresc)) 
	 { 
		echo '<form enctype="multipart/form-data" action="dodaj_wpis.php" method="post">
		<b>Twoje imię:</b> <input name="podpis" type="text" maxlength="80" SIZE="60" value="">
		 <br>
		 <p><b>Treść wpisu:</b></p><textarea name="tresc" cols="100" rows="20"></textarea>
		<br /> 
		<input type="submit" value="Dodaj">';
		echo '</form>';
	}
	else 
	{
	mysql_query('LOCK TABLES `moja_ksiega_gosci` WRITE'); 
        $zapytanie = sprintf("INSERT INTO moja_ksiega_gosci (`podpis`, `tresc`, `data_wpisu`) 
		             VALUES ('%s', '%s', now())",
                		$podpis,  
                		$tresc	
			    );	
 
        	//wykonaj zapytanie
		mysql_query($zapytanie, $polaczenie_sql);  
 
		//odblokuj tabelę
		mysql_query('UNLOCK TABLES');
 
        if (mysql_affected_rows($polaczenie_sql) > 0) 
		{
           	echo 'Komunikat został poprawnie dodany';
        	}  
	}
 
//zamykam baze danych
   mysql_close($polaczenie_sql); 
?>
[PHP] pobierz, plaintext 

[kilas88]

Nie, nie jest w 100% bezpieczne.

[Mephistofeles]

Mnie ciągle zastanawia dlaczego ludzie stosują przestarzałe mysql_, zamiast używać PDO i zapytań preparowanych, gdzie o SQL Injection można praktycznie zapomnieć...

[wookieb]

Mnie ciągle zastanawia dlaczego ludzie stosują przestarzałe mysql_, zamiast używać PDO i zapytań preparowanych, gdzie o SQL Injection można praktycznie zapomnieć...

Ale zapytania przygotowywane nie są do zabezpieczania przed SQL Injection...

[Mephistofeles]

Ale czy to nie jest tak, że wtedy silnik bazy wie co jest parametrem a co zapytaniem, i nie trzeba tego zabezpieczać?

[wookieb]

Zapytania przygotowywane rzeczywiście przed tym zabezpieczają ale nie służą do tego. Służą do wykonywania zapytań w pętli, przez co np nie muszą wielokrotnie parsować całego zapytania.

[Crozin]

PreparedStatements mają to do siebie, że do bazy zapytanie i jego parametry lecą osobno. PDO nie "scala" tego na zasadzie:

[PHP] pobierz, plaintext 
replace(':paramName', mysql_real_e...($paramName))
[PHP] pobierz, plaintext 

Mimo wszystko takie zapytania użyte niepoprawnie nadal mogą być podatne na tak trywialne ataki jak SQLInjection.

[wookieb]

takie zapytania użyte niepoprawnie nadal mogą być podatne na tak trywialne ataki jak SQLInjection.

Przykład?

[Crozin]

W sumie to powinienem cofnąć to zdanie. Miałem na myśli coś w stylu:

[SQL] pobierz, plaintext 
WHERE col_name = :abcParam OR col_name = '$variable'
[SQL] pobierz, plaintext 

Ale w takim przypadku raczej ciężko mówić o Prepared Statement (jakoś tak "przygotowane wyrażenie" czy inne polskie tłumaczenia mi nie pasują ).

[kaźmirz]

Ale czy to nie jest tak, że wtedy silnik bazy wie co jest parametrem a co zapytaniem, i nie trzeba tego zabezpieczać?

Czyli uzywajac PDO nie musimy juz zabezpieczac danych w zmiennych, przekazywanych do zapytania (bazy) i otrzymywanych z bazy?
Jesli tak, to trzeba chyba sie przerzucic na to PDO

[qpeace1]

Szanowni Państwo, a wracając do tematu ;-) ?




Co jeszcze jest w kodzie do uszczelnienia ?


Ten post edytował qpeace1 22.11.2010, 16:49:05

[kilas88]

Szanowni Państwo, a wracając do tematu ;-) ?

Co jeszcze jest w kodzie do uszczelnienia ?

jak już zostało napisane, podany kod nigdy nie będzie wystarczająco bezpieczny - aby rozwiązać ten problem zastosuj PDO i prepared staitments.

nawiasem mówiąc, nie rozumiem tego fragmentu kodu:

[PHP] pobierz, plaintext 
	mysql_query('LOCK TABLES `moja_ksiega_gosci` WRITE'); 
        $zapytanie = sprintf("INSERT INTO moja_ksiega_gosci (`podpis`, `tresc`, `data_wpisu`) 
		             VALUES ('%s', '%s', now())",
                		$podpis,  
                		$tresc	
			    );	
 
        	//wykonaj zapytanie
		mysql_query($zapytanie, $polaczenie_sql);  
 
		//odblokuj tabelę
		mysql_query('UNLOCK TABLES');
[PHP] pobierz, plaintext 

dlaczego blokujesz tabelę na czas wstawiania JEDNEGO rekordu? rozumiem, gdybyś wstawiał kilka integralnie połączonych ze sobą rekordów (czy aktualizował/usuwał), ale w tej sytuacji?

[qpeace1]

dlaczego blokujesz tabelę na czas wstawiania JEDNEGO rekordu? rozumiem, gdybyś wstawiał kilka integralnie połączonych ze sobą rekordów (czy aktualizował/usuwał), ale w tej sytuacji?

Jestem beginer i boję się, że MySQL może nie mieć wbudowanej ochrony wstawiania nowego rekordu, co przy jednoczesnym (mało, ale prawdopodobnej sytuacji) wstawianiu rekordu przez 2 osoby może teoretycznie wysypać całą bazę {chyba, bo jak wspomniałem nie mam pewności}.

Nie bardzo rozumiem - dlaczego to nie ochrania przez Injection-em, przecież w POST nic nie da się tu przemyciś {taką miałem nadzieję}, mógłbyś rozwinąć myśl? (tj. jak można tu dostać się niepowołanie do bazy)