Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[MySQL][PHP] SQL Injection

-MPC User-	11.06.2012, 19:05:25 Post #1
Goście	Jakiś user udostępnił skrypt na pewnym forum i część użytkowników twierdzi, że jest on podatny na SQLi. Nie znam się na php, ale chciałbym wtłoczyć ten skrypt do pewnej strony, ale nie wiem czy jest on bezpieczny. [PHP] pobierz, plaintext <?php // by Smudzas-Design $host = ''; $user = ''; $pass = ''; $cena = 62; // cena pierwszego pierscionka $czas = 7; // dlugosc pierwszego pierscionka mysql_connect($host, $user, $pass); mysql_select_db('account'); echo '<meta http-equiv="content-type" content="text/html; charset=utf-8" />'; $zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1"; $tab = mysql_fetch_assoc(mysql_query($zap)); if($_GET['akcja'] == 'pd'){ if($_GET['dni'] == $czas){ if($tab['cash'] < $cena){ echo 'Masz zbyt mało Smoczych Monet<br>'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } elseif($_GET['dni'] == $czas2){ if($tab['cash'] < $cena2){ echo 'Masz zbyt mało Smoczych Monet'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas 2; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena2 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } elseif($_GET['dni'] == $czas4){ if($tab['cash'] < $cena4){ echo 'Masz zbyt mało Smoczych Monet'; } else{ $data = date("Y-m-d H:i:s"); $time = strtotime($data); $czasTrwania = 3600 * 24 * $czas 4; $nowaData = $time + $czasTrwania; $doKiedy = date("Y-m-d H:i:s", $nowaData); $pd = mysql_query("UPDATE `account` SET `cash`=`cash`-".$cena4 .", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."'"); if($pd){ echo 'Pomyślnie kupiłeś PD'; } else{ echo 'Błąd. Spróbuj ponownie'; } } } else{ echo '<a href="index.php?akcja=pd&dni='.$czas.'"><h1 style="text-align:center;">'.$czas.' dni ('.$cena.' SM)</h1></a>'; echo '<a href="index.php?akcja=pd&dni='.$czas2 .'"><h1 style="text-align:center;">'.$czas2 .' dni ('.$cena2 .' SM)</h1></a>'; echo '<a href="index.php?akcja=pd&dni='.$czas4 .'"><h1 style="text-align:center;">'.$czas4 .' dni ('.$cena4 .' SM)</h1></a>'; } } else{ echo '<a href="index.php?akcja=pd"><h1 style="text-align:center;">Kup pierścień expa</h1></a>'; } ?> [PHP] pobierz, plaintext

IProSoft Zobacz profil	11.06.2012, 19:08:15 Post #2
Grupa: Zarejestrowani Postów: 479 Pomógł: 97 Dołączył: 6.09.2011 Skąd: php.net :) Ostrzeżenie: (0%)	Zwróć uwagę na to zapytanie: [PHP] pobierz, plaintext $zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1"; [PHP] pobierz, plaintext A co jeśli potrafię spreparować $_SESSION['id'] ? Mogę wrzucić dowolny tekst, który nie zostanie wyczyszczony np mysql_escape_string -------------------- Manual prawdę Ci powie.

-MPC User-	11.06.2012, 19:13:11 Post #3
Goście	[PHP] pobierz, plaintext $zap = "SELECT `cash` FROM `account` WHERE `id`='".(int)$_SESSION['id']."' LIMIT 1"; [PHP] pobierz, plaintext Może być?

greycoffey Zobacz profil	11.06.2012, 19:57:01 Post #4
Grupa: Zarejestrowani Postów: 320 Pomógł: 29 Dołączył: 3.04.2010 Ostrzeżenie: (20%)	Cytat(IProSoft @ 11.06.2012, 20:08:15 ) Zwróć uwagę na to zapytanie: [PHP] pobierz, plaintext $zap = "SELECT `cash` FROM `account` WHERE `id`='".$_SESSION['id']."' LIMIT 1"; [PHP] pobierz, plaintext A co jeśli potrafię spreparować $_SESSION['id'] ? Mogę wrzucić dowolny tekst, który nie zostanie wyczyszczony np mysql_escape_string Proszę Cię, nie pogrążaj się. Czy ludzie naprawdę nie mają pojęcia jak działają sesje? Spreparowanie danych to atak typu Session Poisoning - ale ten atak może wystąpić tylko wtedy, kiedy programista pisze idiotyczny kod jak: [PHP] pobierz, plaintext $_SESSION[$_GET['key']]=$_GET['value']; [PHP] pobierz, plaintext Co do skryptu (zakładam, że $cena może być zmieniona): [SQL] pobierz, plaintext UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."' [SQL] pobierz, plaintext Zagrożeniem jest cena, zobacz co się stanie gdy damy ujemną: Kod mysql> insert into abc values (5); Query OK, 1 row affected (0.00 sec) mysql> select * from abc; +------+ \| cena \| +------+ \| 5 \| +------+ 1 row in set (0.00 sec) mysql> update abc set cena=cena--5; Query OK, 1 row affected (0.00 sec) Rows matched: 1 Changed: 1 Warnings: 0 mysql> select * from abc; +------+ \| cena \| +------+ \| 10 \| +------+ 1 row in set (0.00 sec) Jeśli $czas można zmienić też, pewnie efektem niepożądanym byłby fakt, że silver_expire jest zmienione na inną wartośc niż zakładana. Opisz dokładniej które dane są zmienne.

IProSoft Zobacz profil	11.06.2012, 20:27:06 Post #5
Grupa: Zarejestrowani Postów: 479 Pomógł: 97 Dołączył: 6.09.2011 Skąd: php.net :) Ostrzeżenie: (0%)	@UP a skąd pewnośc, że w ten sposób nie jest Tworzone ID? Może zaufać użytkownikowi... To pierwszy błąd jaki rzucił mi się w oczy więc go o nim informuję, więc nie rzucaj odrazu miesem... -------------------- Manual prawdę Ci powie.

-MPC User-	11.06.2012, 20:46:28 Post #6
Goście	Cytat(greycoffey @ 11.06.2012, 19:57:01 ) Proszę Cię, nie pogrążaj się. Czy ludzie naprawdę nie mają pojęcia jak działają sesje? Spreparowanie danych to atak typu Session Poisoning - ale ten atak może wystąpić tylko wtedy, kiedy programista pisze idiotyczny kod jak: [PHP] pobierz, plaintext $_SESSION[$_GET['key']]=$_GET['value']; [PHP] pobierz, plaintext Co do skryptu (zakładam, że $cena może być zmieniona): [SQL] pobierz, plaintext UPDATE `account` SET `cash`=`cash`-".$cena.", `silver_expire`='".$doKiedy."' WHERE `id`='".$_SESSION['id']."' [SQL] pobierz, plaintext Zagrożeniem jest cena, zobacz co się stanie gdy damy ujemną: Kod mysql> insert into abc values (5); Query OK, 1 row affected (0.00 sec) mysql> select * from abc; +------+ \| cena \| +------+ \| 5 \| +------+ 1 row in set (0.00 sec) mysql> update abc set cena=cena--5; Query OK, 1 row affected (0.00 sec) Rows matched: 1 Changed: 1 Warnings: 0 mysql> select * from abc; +------+ \| cena \| +------+ \| 10 \| +------+ 1 row in set (0.00 sec) Jeśli $czas można zmienić też, pewnie efektem niepożądanym byłby fakt, że silver_expire jest zmienione na inną wartośc niż zakładana. Opisz dokładniej które dane są zmienne. Zadne dane nie są wprowadzane przez użytkownika i nie ma on do nich dostępu. Więc jak cena może być minusowa?

Rysh Zobacz profil	11.06.2012, 20:48:40 Post #7
Grupa: Zarejestrowani Postów: 821 Pomógł: 111 Dołączył: 11.09.2006 Skąd: Biała Podlaska Ostrzeżenie: (0%)	Cytat(MPC User @ 11.06.2012, 21:46:28 ) Zadne dane nie są wprowadzane przez użytkownika i nie ma on do nich dostępu. Więc jak cena może być minusowa? Ja podchodzę do takiego wniosku, że dane powinny być zabezpieczone "na wszelki wypadek" przed zmianami. Czasem nam się wydaje, że czegoś użytkownik i tka nie może zmodyfikować, a przychodzi taki delikwent i to robi (świadomie lub nie). Zabezpieczenie skryptów PHP to podstawa! -------------------- Maciej Kozłowski - WebDeveloper PHP, MySQL

-MPC User-	11.06.2012, 21:31:33 Post #8
Goście	Jak może zmienić zmienną która jest zdeklarowana wewnątrz skryptu? Nawet jak dla mnie to dziwne

greycoffey Zobacz profil	12.06.2012, 15:34:08 Post #9
Grupa: Zarejestrowani Postów: 320 Pomógł: 29 Dołączył: 3.04.2010 Ostrzeżenie: (20%)	Cytat(IProSoft @ 11.06.2012, 21:27:06 ) @UP a skąd pewnośc, że w ten sposób nie jest Tworzone ID? Może zaufać użytkownikowi... To pierwszy błąd jaki rzucił mi się w oczy więc go o nim informuję, więc nie rzucaj odrazu miesem... Co tutaj jest do ufania użytkownikowi? Zatrucie sesji jest możliwe tylko wtedy, kiedy programiasta pisze idiotyczny kod. Równie dobrze mozna powiedzieć "co jeśli potrafię uzyskać dostęp do serwera?". Dane sesyjne nie są (tfu, nie powinny być) ustawiane wprost od użytkownika. Jeśli ceny ani casu nie da się zmienić, to ten kawałek kodu jest w 100% bezpieczny.

d3ut3r Zobacz profil	13.06.2012, 05:19:55 Post #10
Grupa: Zarejestrowani Postów: 709 Pomógł: 176 Dołączył: 24.10.2010 Ostrzeżenie: (0%)	można poczytać ciekawe rzeczy http://ha.xxor.se/2011/09/local-session-po...php-part-1.html czyli generalnie i tak wszystko zależy, od konfiguracji serwera. Zatrucie sesji jest możliwe tylko gdy serwer nie jest odpowiednio skonfigurowany wówczas skrypt taki jaki przedstawił autor może sprawić problemy. Osobiście nie ufam żadnym zmiennym (to że teraz atak jest nie możliwy nie znaczy, że za 3 dni nie będzie nowej luki) tym bardziej jeżeli potrzebuje inta to zwykłe rzutowanie w zupełności wystarcza. -------------------- http://d3ut3r.wordpress.com/ \| mysql_* jest przestarzałe UŻYWAJ PDO!

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 18.08.2025 - 23:51

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn