a ja się już nie co zagubiłem w tym wszystkim lecz czy przy przykładzie:

[PHP] pobierz, plaintext 
$sql=mysql_query("SELECT * FROM costam WHERE cos=$wartosc[id] ORDER BY id DESC");
[PHP] pobierz, plaintext 

jest dobrze zabezpieczyć id poprzez dodanie przed wartością (int)

[PHP] pobierz, plaintext 
$sql=mysql_query("SELECT * FROM costam WHERE cos=(int)$wartosc[id] ORDER BY id DESC");
[PHP] pobierz, plaintext 

Czy takie coś przed czymś zabezpiecza?zrozumiałem że dzięki (int) żadne ekstra znaki czy litery nie będą brane pod uwagę

Powiedzcie mi, jak powinienem filtrować całą tablicę która wygląda tak:

[PHP] pobierz, plaintext 
Array
(
    [55] => Array
        (
            [uid] => 55
            [nazwa] => CCBC 1325-LP
            [opis] => Kamera Kolorowa, przetwornik CCD 1/3" Sony SuperHAD czu?o?? 0.6Lux rozdzielczo?? 480 linii Funkcja AES AGC BLC Uzas:12VDC/24VAC/2.8W wymiar 122x72x63mm
 
            [ilosc] => 1
            [cena] => 111
        )
 
    [53] => Array
        (
            [uid] => 53
            [nazwa] => CCBC 1325-LP
            [opis] => Kamera Kolorowa, przetwornik CCD 1/3" Sony SuperHAD czu?o?? 0.6Lux rozdzielczo?? 480 linii Funkcja AES AGC BLC Uzas:12VDC/24VAC/2.8W wymiar 122x72x63mm
 
            [ilosc] => 1
            [cena] => 99
        )
 
)
[PHP] pobierz, plaintext 

Da się jakoś całą zfiltrować np, przy

[PHP] pobierz, plaintext 
foreach($_SESSION['koszyk'] as $produkt){
[PHP] pobierz, plaintext 

czy muszę po kolei każde pole które wywojuje np. tak:

[PHP] pobierz, plaintext 
$_SESSION['koszyk'] [$id] ['ilosc']
[PHP] pobierz, plaintext 

Podajcie jakiś przykład najlepiej. Mam funkcje filtruj ale nie wiem jak ją użyć do powyższego ...

O mamo, a przeczytałeś chociaż pierwszą stronę tego wątku, czy czekasz, aż ktoś Ci podrzuci gotowca?

jak to szybko zrobic na tablicy wielowymiarowej nie powtarzajac za kazdym razem

[PHP] pobierz, plaintext 
filtruj($_SESSION['koszyk'] [$id] ['ilosc'])
filtruj($_SESSION['koszyk'] [$id] ['cena'])
filtruj($_SESSION['koszyk'] [$id] ['opis'])
[PHP] pobierz, plaintext 

array_map

Zasada jest prosta - Don't trust user input

A tak na poważnie to:

- używaj abstrakcji PDO lub ORM-a
- procedury składowane
- pomyśl 2x pisząc RAW SQLa

Proste zasady, których trzeba przestrzegać.

tak się zastanawiam czy przepuszczenie przez preg_replace z regułą [^a-zA-Z_] i usunięcie całej reszty + mysql_real_escape_string i dla liczb stosowanie (int) jest wystarczająco bezpieczne?

A po co Ci to wyrażenie?

nie, po 1. samym a-z da się namieszać 2. filtracje / walidacje stosuje się odpowiednio do filtrowanych / walidowanych danych

Wyrażenie samo w sobie ma oczyszczać np. dodawaną lub pobieraną kategorię zostawiając jedynie a-Z i znak"_" usuwając spacje, pokemoniaste znaczki i cyfry nie chce mieć czegoś takiego.

bełdzio jak można namieszać, skoro spacja,znaki spec. nie przechodzą?a zmienna tak czy siak przechodzi przez mysql_real_escape_string() chyba, że się mylę i coś zostaje, tylko co wtedy może zostać złego?. Zawsze wolę znać uzasadnienie.

wszystko zależy od tego, gdzie następnie wyświetlasz te dane, jeśli wyświetlisz jako "zwykły" text na stronie będzie zapewne ok, jak wrzucisz jako zawartość skryptu JS to już niekoniecznie

Ja wspomne, że mysql_real_escape_string oraz addslashes są dziurawe jeżeli mamy doczynienia z chińskim(i kilkoma innymi) kodowaniem. Należy stosować mysqli->real_escape_string()

A co powiecie na takie zabezpieczenie przed SQL Injection?

[PHP] pobierz, plaintext 
$cracktrack = $_SERVER['QUERY_STRING'];
  $wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
'$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
'/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '/usr/X11R6/bin/xterm', 'lsof%20',
'/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
'file\://', 'window.open', '<script>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
'<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');
 
  $checkworm = str_replace($wormprotector, '*', $cracktrack);
 
  if ($cracktrack != $checkworm)
        {
               echo "GDZIE?!";
         }
[PHP] pobierz, plaintext 

A co jak ja cię poproszę/zlecę napisanie mi bloga na którym chcę pisać o programowaniu ? Leżysz

Poza tym to zabezpieczenie totalnie nic nie daje, to co podaje jako parametr mogę zakodować szesnastkowo

Czy oprócz kodowania szesnastkowego, da się jeszcze jakimś innym zakodować parametr?

Czy czasem iconv nie rozwiązuje tego typu problemów ?

[PHP] pobierz, plaintext 
$str=@iconv("utf-8", "utf-8//IGNORE", $str)
[PHP] pobierz, plaintext 

A jak z PDO? Też powinno sobie radzić .

Weźcie mi wyjaśnijcie jedno - jest już kilka skutecznych metod, ludzie dopisują cały czas jakieś swoje-nowe, które się wydają im działać, a tak naprawdę są strzałami w stopy.

Po co?

Erix - bo w sieci na stronach o sql injection zamiast podawać info o funkcjach filtrujących dają gadki typu
'najlepiej stworzyć funkcję która będzie filtrować treść z niebezpiecznych znaków' , swego czasu gdy sam dopiero podchodziłem do tej tematyki spotykałem chyba tylko takie wymysły... dopiero w jakiejś książce znalazłem sensowne wyjaśnienie i funkcję ;p

@Spawnm: musiałbym to iconv przetestować ale moim zdaniem nie ma sensu sobie komplikować życia. PDO również jest bezpieczne więc wystarczy wybrac mysqli lub pdo. Dziurawy jest jedynie stary strukturalny moduł obsługi mysql ale to i tak tylko przy kilku azjatyckich kodowaniach.

Wszelkie te zabezpieczenia operujące na słownikach są kretyńskie zawsze można większość z nich ominąć za pomocą komentarzy. Nawet jeśli filtrujesz np. UNION mogę napisać U/**/N/**/I/**/O/**/N albo w hex albo wykorzystując funkcję char()

Huh, z tego co pamiętam, to dało się też niektóre znaki zapisać korzystając z "wysokich kodów Unicode", a to już jest ciężko odfiltrować.

@SHiP, zdaje się, że masz pisać książkę o bezpieczeństwie www, więc powiedz mi... gdzie te Twoje "U/**/N/**/I/**/O/**/N" zadziała?

@pyro: ok trochę się zapędziłem. Sprawdziłem i w nowszych wersjach MySQL to nie działa.

W oracle można użyć czegoś takiego jak execute immediate i tam umieścić zapytanie zapisane w taki sposób jak podałem wyżej i ono zadziała.
W MS SQL można użyć exec()

A jako że piszemy o mysql(chyba?) to za pomocą /**/ można w nim ładnie pousuwać białe znaki np. takie zapytanie nie ma ani jednej spacji a działa:

[SQL] pobierz, plaintext 
SELECT/**/*/**/FROM/**/news;
[SQL] pobierz, plaintext 

EDIT:
albo coś jeszcze bardziej fajnego

[SQL] pobierz, plaintext 
/*!SELECT*//*!**//*!FROM*//*!news*/
[SQL] pobierz, plaintext 

To działa(sic!)

Jak niby wykorzystać funkcję char() ?
*, char można usuwać, a przed hex da się też zabezpieczyć.
Przyznaję, pomysł trochę nie za dobry ale można zrobić z tego log

[SQL] pobierz, plaintext 
SELECT char(80,72,80);
[SQL] pobierz, plaintext 

==

[SQL] pobierz, plaintext 
SELECT PHP
[SQL] pobierz, plaintext 

To zapytanie akurat nie działa

@darko: jaką masz wersję mysql? I czy masz w wybranej bazie tabelę news ;]

U siebie mam mysql Ver 14.14 Distrib 5.1.36, for suse-linux-gnu (x86_64) using readline 6.0 i dziala...

5.0.51a-24+lenny2+spu1 (Linux debian 2.6.30-bpo.1-686 #1 SMP Mon Aug 17 14:57:26 UTC 2009 i686 GNU/Linux) i nie hula. Oczywiście podałem nazwę istniejącej tabeli w bazie I zwraca całe nic (nie ma błędów po prostu nie zwraca żądnego wyniku, a dane w tabeli są na 100%).

Hmm no to dziwne. Wygląda na to, że starsza werjsa inaczej to interpretuje lub masz pustą tabelę. A coś takiego

Wydzielcie ten nasz OT, jak możecie
/*!SELECT*//*!'advisors'*/;
to samo w mysql-query-browser v. 1.2.12:
Query executed in 0:00.0250. Query finished

To samo w phpmyadmin (phpMyAdmin - 2.11.8.1deb5+lenny3):
/*!SELECT*//*!'advisors'*/
Pokaż rekordy 0 - 0 (1 wszystkich, Wykonanie zapytania trwało 0.0003 sekund(y))

Dane są w tabeli advisors na milion %

Temat ma duzo strony czy ktoś mógłby wymienic wszystkie funkcje które chronia przed sql Injection

W sumie to faktycznie lekki śmietnik tu się zrobił.

Ogólnie to nie ma czegoś takiego jak "funkcja chroniąca przed SQL Injection". Temat jest bardziej złożony.
Najprościej jest przerzucić się w końcu na PDO i używać prepared statements


- Inne funkcje "chroniące przed SQL Injection" to mysql_real_escape_string, pg_escape_string, itp.

Stosuje się je do danych tekstowych i tylko dla odpowiedniego systemu bazodanowego.
Jeśli użyjemy funkcji wstawiającej ukośniki przed apostrofami ('O\'Reilly'), a w naszym systemie DB znakiem ucieczki jest drugi apostrof ('O''Reilly'), to nie dość że nie zabezpieczyliśmy się przed niczym, to jeszcze wstawiamy śmieci do bazy danych.

- W przypadku danych liczbowych używamy intval, floatval

- W przypadku nazw kolumn (np. do sortowania), to stosujemy:

[PHP] pobierz, plaintext 
<?php
 
$columns = array( 'date', 'points', 'level' );
 
// identyfikatory tekstowe lub liczbowe
if( $_GET['orderType'] < 0 || $_GET['orderType'] >= count( $columns ) )
{
    // ktoś próbuje mieszać, throw new Exception
}
 
$orderColumn = $columns[$_GET['orderType']];
$query = "SELECT (...) ORDER BY $orderColumn";
// zapytanie
 
 
// lub nazwy kolumn
if( !in_array( $_GET['orderType'], $columns ) )
{
    // ktoś próbuje mieszać, throw new Exception
}
 
$query = "SELECT (...) ORDER BY $_GET[orderType]";
// zapytanie
 
?>
[PHP] pobierz, plaintext 

- W przypadku MySQL zamiast popularnego addslashes poleca się używanie mysql_real_escape_string


- stripslashes jest praktycznie niepotrzebny. Przydaje się tylko, żeby oczyścić dane wejściowe ze śmieci jeśli mamy włączone magic_quotes_gpc

Rzutowanie będzie szybszym rozwiązaniem.

A co sądzicie o metodzie (na SELECT, UPDATE itp)

[SQL] pobierz, plaintext 
SELECT * FROM TABLE WHERE md5(column_name)='".md5($condition)."'; 
[SQL] pobierz, plaintext 

Po co? Może wystąpić kolizja, choć to mało prawdopodobne, a poza tym po co dodatkowo obciążać PHP i bazę liczeniem hasha? Wystarczą prepared statements i SQL Injection masz z głowy.

Czy zastosowanie wyrazen regularnych z funkcja preg_match() do danych pochodzacych z formularza uchroni mnie od SQL Injection? Czy jest to niewystarczające zabezpieczenie?

Nie. A teraz przeczytaj temat.

Ja na każdym inpucie wprowadziłem preg_match jako głowną formę zabezpieczenia,żeby mi ktoś śmieci nie wpisywał dodatkowo użyłem funkcje, która dodatkowo filtruje, każdą wprowadzoną zmienną poprzez metody stripslashes,htmlentities,strip_tags i pomocniczo trim.Jednakże ,mam wątpliwość co do metody "htmlentities". Użyłem jej w taki sposób

[PHP] pobierz, plaintext 
$data= htmlentities ($data,ENT_QUOTES, 'UTF-8'); 
[PHP] pobierz, plaintext 

.Wiem ,że funkcja ma konwertować znaki specjalne do kodowani encji.Polskie znaki w tej metodzie ,są także postrzegane jako znaki specjalne,dlatego w metodzie użyłem zamiany encji na UTF-8 ,ale czy to ma sens???Czy np."\" nie zostanie z powrotem sprowadzony do postaci "\" zamiast do "amp&" która jest encją?

A moje pytanie jest takie:

Czy jest gdzieś zestaw znaktów specialnych, bardzo często używanych w atach przez typu:
../
'--'
'<script>'
'onclick'
'char(
itd...

Myślę, że można zrobić funkcje, która przy każdym odświeżeniu strony będzie sprawdzać $_POST, $_GET, $_SERVER. w momencie, gdy któraś z tablic będzie zawierać słowo, z powyższej listy to damy bana na IP dla klienta. Wiadomo taki ban przed niczym nie zabezpieczy, ale skomplikuje trochę prace hakerowi i wytnie wszystkie boty, które nie zmieniają IP(ów).
Chciałbym tylko dostać jeśli ktoś posiada listę zwrotów, która nada się do zbudowania takiej funkcji, a o pomyśle co sądzicie?

@propage: A teraz wyobraź sobie, że tutaj na forum jest coś takiego. Piszesz sobie ładnie posta, dajesz wyślij i jesteś zbanowany. wtf?

to wyjątkowa sytuacja, nie mam zamiaru robić forum dla programistów.

---------

Mam dodakotwe pytanie.
Jesli w skrypcie inkluduje sobie plik na z nazwy GETA.
Aby zabezpieczyć się przed tym, żeby ktos nie piwsał nap ?p=../../config.php

robię taki warunek "if(eregi ('\.', $_GET['p'])) die();

czy są jakieś metody, które obejdą mój warunek?

yyy tak. I to co najmniej kilka metod.

To nie ma znaczenia.

W ogóle zabierasz się za to od złej strony. Próbujesz nie dopuścić do wprowadzenia "dziwnych" danych (co jest bardzo trudne) zamiast upewnić się, że dane zostaną odpowiednio obsłużone (co jest bardzo proste).
Dane trafiają do XML-a czy formatu pochodnego jak HTML? htmlentities czy któraś z podobnych funkcji - problem z głowy.
Dane trafiają do URL-a? (raw)urlencode - problem z głowy.
Dane trafiają do JSON-a? json_encode - problem z głowy.
itd.

1. Nie używaj ereg.
2. Po prostu określ jakie wartości może przyjąć. Ile masz tych plików? 5, 10, 15?

Mam wiele plików, to musi być bardziej elastyczne. Nie chce wypisywać w skrypcie nazw wszystkich możliwych plików.
Skoro są takie metody to chciałbym je poznać, aby się zabezpieczyć przed nimi.

W tym przypadku wystarczy (zakładając, że wszystkie pliki do includowania posiadasz w jednym, oddzielnym katalogu [np. `includes/`]):

[PHP] pobierz, plaintext 
$inc = basename($_GET['inc']);
if(!include_once('includes/'.$inc))
{
echo 'Podales nieistniejacy plik';
}
[PHP] pobierz, plaintext 

pyro, przed czym ma zabezpieczyć ten kod?


jesli inc bedzie mieć zawierać "../../index.php"

to

if(!include_once('includes/'.$inc))

da nam to

if(!include_once('includes/../../index.php'))

plik taki istnieje.

@propage aleś ty cwany... wyciąłeś kawałek z kodu pyro i masz do niego jakieś żale :/

Z kodu pyro wywaliłeś:
$inc = basename($_GET['inc']);
a ten właśnie kawałek kodu stanowił podstawę zabezpieczenia

nie zauważyłem tej funkcji, to jest wystarczające zabezpieczanie?

Kod miał 4 linijki :/

chciałbym sie dowiedzieć jakie jest/są w "miarę" skuteczne zabezpieczenie/a przed tym atakiem

szukalem na tym forum... i co któryś post przekierowujecie do tego.. .

poczytałem kilka stron tego tematu.. i jednym słowem tu jest wielka sieczka:

kazdy sie "przekrzykuje" tak jak tirowcy stojący w korku przekrzykują osobówki mijające ich bokiem..


skoro temat jest tematem tak ważnym może "moderacja" by podsumowała go i napisała w pierwszym poście na co tak naprawdę trzeba zwrócić uwagę..