Forum PHP.pl

Forum PHP.pl > Forum > PHP

Reply to this topic

Start new topic

[php] SQL Injection

pablo114 Zobacz profil	14.07.2007, 13:10:53 Post #1
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 11.07.2007 Ostrzeżenie: (0%)	Napisałem skrypt ale nie potrafie go zabezpieczyć. Jest to skrypt rejestracji wprowadzający login i hasło do bazy MSSQL czy funkcja addslashes wystarczy? jeśli możecie to pomóżcie [PHP] pobierz, plaintext <? #-- Fragment gdzie podajemy dane do połączenia z MSSQL'em --# $host = "localhost"; $user = "login_sql"; $userpass = "haslo_sql"; $baza = "nazwa_bazy"; #-- Łączenie się z MSSQL'em i wybór bazy danych --# $polaczenie = @mssql_connect($host,$user,$userpass); @mssql_select_db($baza,$polaczenie); #-- Tu tworzymy zmienne, pobierające dane z formularza --# $login = $_POST['login']; $haslo = $_POST['haslo']; $potwierdzenie = $_POST['haslo2']; #-- Sprawdzamy czy hasła w polach formularza są identyczne, jeśli nie, skrypt kończ y swoje działanie --# if ($haslo != $potwierdzenie) // Znak != oznacza różny { die ('Hasła się nie zgadzają, spróbuj ponownie<br><a href="reg.php">wróc</a>'); } #-- Zmienna do której przypisane jest zadanie SELECT --# $sprawdzlogin = mssql_query("SELECT LOWER(memb___id) FROM MEMB_INFO WHERE LOWER(memb___id) = ('$login')") or die; #-- Warunek sprawdzający czy w bazie nie ma już identycznego loginu, jeśli jest, sk rypt kończy swoje działanie i wyświetla odpowiedni komunikat --# if (mssql_num_rows($sprawdzlogin)) { die ('Takie konto juz istnieje, wybierz inna nazwe<br><a href="reg.php">wróc</a>'); } #-- kolejny warunek, sprawdza pola w formularzu czy są wypełnione, jeśli nie wyświe tla odpowiednią wiadomość --# elseif (empty($login) \|\| empty($haslo) ) // Znak \|\| oznacza słowo LUB { die ('Wypełnij wszystkie pola<br><a href="reg.php">wróc</a>'); } #-- I teraz, po przejściu wszystkich warunków, skrypt wrzuca dane do bazy danych, j eśli się nie powiedzie wyświetla odpowiedni komunikat --# mssql_query("INSERT INTO MEMB_INFO (memb_guid,memb___id,memb__pwd,memb_name,sno__numb,post_code,addr_info,addr_ d eta,tel__numb,mail_addr,phon_numb,fpas_ques,fpas_answ,job__code,appl_days,mod i_days,out__days,true_days,mail_chek,bloc_code,ctl1_code) VALUES ('1','$login','$haslo','Imie', '1','1234','11111','personalid','12343','email','email','pytanie','odpowiedz' ,'1',getdate(),getdate(),getdate(),getdate(),'1','0','1')") \|\| die('Niestety, zakładanie konta nie powiodło się, spróbuj ponownie<br><a href="reg.php">wróc</a>'); #-- Po prawidłowym zakończeniu wpisywania danych do bazy, komunikat --# echo "Konto zostało utworzone, dziękujemy"; //echo służy do wyświetlania tekstu ?> [PHP] pobierz, plaintext

misiek172 Zobacz profil	14.07.2007, 15:37:00 Post #2
Grupa: Zarejestrowani Postów: 656 Pomógł: 3 Dołączył: 26.10.2005 Skąd: Częstochowa Ostrzeżenie: (0%)	powinieneś jeszcze użyć funkcji usuwającej wszelkie TAGi HTML, JS itp. http://pl2.php.net/manual/pl/function.strip-tags.php -------------------- zmoderowano - waga i rozmiar

Kicok Zobacz profil	14.07.2007, 15:59:23 Post #3
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)	Cytat Napisałem skrypt ale nie potrafie go zabezpieczyć. Jest to skrypt rejestracji wprowadzający login i hasło do bazy MSSQL czy funkcja addslashes wystarczy? w MSSQL stosuje się inny znak ucieczki. Zamiast addslashes, mysql_escape_string czy mysql_real_escape_string należy napisać sobie swoją własną funkcję: [PHP] pobierz, plaintext <?php function secure( $string ) { return str_replace( "'", "''", $string ); } ?> [PHP] pobierz, plaintext i używać jej zamiast addslashes() -------------------- "Sumienie mam czyste, bo nieużywane."

pablo114 Zobacz profil	14.07.2007, 17:20:42 Post #4
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 11.07.2007 Ostrzeżenie: (0%)	Cytat w MSSQL stosuje się inny znak ucieczki. Zamiast addslashes, mysql_escape_string czy mysql_real_escape_string należy napisać sobie swoją własną funkcję: Sorka za głupie pytanie ale po prostu nie mam pojęcia o tego typu zabezpieczeniach. Te funkcje, którą podał kicok wstawić na początku pliku czy może wpisać ją w któryś z wierszy zeby zabezpieczyć konkretny fragment pliku?

Kicok Zobacz profil	14.07.2007, 20:42:48 Post #5
Grupa: Zarejestrowani Postów: 1 033 Pomógł: 125 Dołączył: 17.09.2005 Skąd: Żywiec Ostrzeżenie: (0%)	Temat: SQL Injection Insertion albo http://www.google.pl/search?hl=pl&q=sql+injection Żeby się porządnie zabezpieczyć przed SQL Injection musisz mieć jakieś pojęcie o PHP i SQL. Po pierwsze zapamiętaj, że po stronie PHP układanie jest tylko zapytanie (napis), które wysyłane jest to serwera baz danych. Złośliwy użytkownik może w formularzu podać takie dane, które zmienią działanie zapytania, i przed tym trzeba się zabezpieczać. Przykład: [PHP] pobierz, plaintext <?php $login = $_POST['login']; $haslo = $_POST['haslo']; $zapytanie = "SELECT * FROM uzytkownicy WHERE ( login = '" . $login . "') AND ( haslo = '" . $haslo . "' )"; $result = mssql_query( $zapytanie ); ?> [PHP] pobierz, plaintext Jeśli użytkownik poda w formularzu: login: admin hasło: iskierka To zapytanie będzie wyglądało tak: *SELECT FROM uzytkownicy WHERE ( login = 'admin' ) AND ( haslo = 'iskierka' ) Jeśli urzytkownik poda w formularzu: login: admin' ) -- hasło: cokolwiek To zapytanie będzie wyglądało tak: SELECT * FROM uzytkownicy WHERE ( login = 'admin' ) --** ') AND ( haslo = 'cokolwiek' ) Wszystko co znajduje się po "--" jest traktowane jako komentarz, serwer baz danych tego nie widzi. Czyli lekko preparując wysyłane dane możemy pobrać informacje o adminie nie znając jego hasła. Żeby MSSQL rozpoznał apostrof jako "apostrof", a nie jako koniec napisu, stosuje się tzw. znaki ucieczki. Dla MSSQL jest to drugi apostrof. Więc jeśli zmienne $login i $haslo przepuścisz przez funkcję, którą podałem wyżej, to nie uda się wykonać ataku SQL Injection: [PHP] pobierz, plaintext <?php function secure( $string ) { return str_replace( "'", "''", $string ); } $login = $_POST['login']; $haslo = $_POST['haslo']; $login = secure( $login ); haslo = secure( $haslo ); $zapytanie = "SELECT * FROM uzytkownicy WHERE ( login = '" . $login . "') AND ( haslo = '" . $haslo . " )"; $result = mssql_query( $zapytanie ); ?> [PHP] pobierz, plaintext Po zastosowaniu funkcji secure() zapytanie będzie miało postać: *SELECT FROM uzytkownicy WHERE ( login = 'admin'') -- ' ) AND ( haslo = 'cokolwiek' ) i nie zwróci ono nic, bo w bazie danych najprawdopodobniej nie będzie nikogo z loginem: "admin') --** " ;] Trochę inaczej należy patrzeć na zabezpieczenie danych, które nie są umieszczane w apostrofach, np: [PHP] pobierz, plaintext <?php $id = $_GET['id']; $zapytanie = 'SELECT * FROM tabela WHERE id = ' . $id; $result = mssql_query( $zapytanie ); ?> [PHP] pobierz, plaintext W takim przypadku trzeba stosować intval" title="Zobacz w manualu PHP" target="_manual, ctype_digit" title="Zobacz w manualu PHP" target="_manual czy inne techniki, o których mi się nie chce pisać, a które znajdziesz pod linkami które podałem powyżej. Ten post edytował Kicok 14.07.2007, 20:45:26 -------------------- "Sumienie mam czyste, bo nieużywane."

pablo114 Zobacz profil	14.07.2007, 22:55:00 Post #6
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 11.07.2007 Ostrzeżenie: (0%)	Cytat Czyli lekko preparując wysyłane dane możemy pobrać informacje o adminie nie znając jego hasła. pod warunkiem, ze jest w bazie ktoś z loginem admin jak nie znasz loginu admina to szukaj wiatru w polu ale mniejsza o to Dziękuje za pomoc

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 31.07.2025 - 15:48

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn