Pytania o streszczenie wątku, posty z "genialnymi" skryptami nadającymi się tylko na przedszkole i inne tego typu, będą bez ostrzeżenia usuwane przez moderatorów.
To mówiłem ja, Jarząbek... znaczy nospor dnia 2007-12-10
-------------------------------------------------------------------------------

SQL Injection (zwane też "SQL Insertion") to (rzekomo) najprostszy sposób włamu na stronę. Spowodowany jest on niepełnym sformułowaniem zapytań do MySQL.

Przykład. Dajemy na stronie możliwość edycji profilu. Zapytanie do SQL wygląda następująco:

[PHP] pobierz, plaintext 
<?php
$query = &#092;"update uzytkownicy set pole='$dane' where id='$id'\";
?>
[PHP] pobierz, plaintext 

Osoba włamująca się na stronę umieszcza całkiem prosty, odpowiedni ciąg znaków/poleceń w dowolnym polu edycji tego profilu, który wygląda np. tak (dla zmiany hasła użytkownika o dowolnie wybranym, przez atakującego numerze ID):

[PHP] pobierz, plaintext 
<?php
', haslo='nowe_haslo' WHERE id = '1
?>
[PHP] pobierz, plaintext 

W taki oto prosty sposób, osoba atakująca zmieniła hasło użytkownikowi o ID=1 (zazwyczaj administrator). W podobny sposób można również wyciągnąć dowolne dane z tabeli SQL.

W każdym razie. Poszperałem, pomyślałem i zebrałem wszystko do kupy. Zamieszczam to tutaj razem, oraz proszę o rozbudowanie tego topica, gdyż nie znalazłem na tym forum więcej informacji o "SQL Injection".

Oto co możemy dokonać:
1. Możemy sformułować nasze zapytanie do SQL tak:

[PHP] pobierz, plaintext 
<?php
$query = 'update `uzytkownicy` set `pole`=\"'.$dane.'\" where `id`=\"'.$id.'\";';
?>
[PHP] pobierz, plaintext 

2. Przy wstawianiu numerów ID do zapytań należy stosować tzw. rzutowanie typów:

[PHP] pobierz, plaintext 
<?php
$id = (int)$_GET['id'];
// lub
$id = intval($_GET['id']);
?>
[PHP] pobierz, plaintext 

3. Przy wstawianiu tekstów, należy wyciąć niebezpieczne znaki przy pomocy funkcji:

[PHP] pobierz, plaintext 
<?php
$string = mysql_real_escape_string($_POST['string']); // PHP5
 
$string = mysql_escape_string($_POST['string']); /* lub */ $string = addslashes($_POST['string']); // PHP4
?>
[PHP] pobierz, plaintext 

Może nie ma tego dużo, ale jest to już jakaś podstawa do zabezpieczenia strony/skryptu przed prostym i niezwykle niebezpiecznym, SQL Injection. Proszę osoby obeznane w tym temacie, aby dopisały tu własne propozycje metod zabezpieczenia się przed tym atakiem.

punkt 1. twojego "zabezpieczenia" nie ma nic do rzeczy z rzeczywistym bezpieczeństwem przynajmniej wg mnie

punkt 2. ja stosuje po prostu addslashes() i filtruje dane z POST GET COOKIE itd. tzn jak ma byc liczba do liczba a nie string

stosujac gotowe skrypty ala phpbb itd. dopisuje zawsze w jakims glownym pliku
usuwanie s url-a wystapien wyrazow "<script>" i "UNION" co zabezpiecza przez script kiddie

Z tego co wiem to mysql nie wykonuje zapytan typu "zapyta1;zapyt2" od sstrony php wiec tego nei masz sie co bac... co do filtrowania danych...

mysql_escape_string" title="Zobacz w manualu PHP" target="_manual

Gdzieś znalazłem informację, że niby jednak to ma pomóc (głównie chodzi o średnik tam też o średnik na końcu zapytania)

Czy czasem $_POST, $_GET i $_COOKIE nie mają automatycznie dodawanych slash'y ?

Tak będzie OK? (nie znam się na wyrażeniach regularnych, a chciałbym, aby w tym topicu wszystko było jasno opisane, co by nikt problemów nie miał)

[PHP] pobierz, plaintext 
<?php
preg_replace( '%<script>%', '', $zmienna );
?>
[PHP] pobierz, plaintext 

zabezpieczenie w stylu:

[PHP] pobierz, plaintext 
<?php
$query = 'update `uzytkownicy` set `pole`=\"'.$dane.'\" where `id`=\"'.$id.'\";';
?>
[PHP] pobierz, plaintext 

to jak juz powiedziano zadne zabezpieczenie a pozatym zmnijsza wydajnosc zapytania, umieszczanie wartosci liczbowych w momiedzy " " powiduje iz MySQL mysli ze ma do czynienia ze znakami (stringami) i niepotzrebnie musi konwertowac typy.

Przylacze sie do tego co juz powiedziano, uzywac Zmiennych globalnych, i filtrowac wszystko, to co ma byc liczba to konwertowac na liczbe np:

[PHP] pobierz, plaintext 
<?php
$_GET['id'] = intval($_GET['id']);
?>
[PHP] pobierz, plaintext 

a to co ma byc stringiem dodawac slashe (addslashes).

Podstawowa zasada to nie ufac nikomu i spodziewac sie najgorszego!
budowac aplikacje tak by wytrzymaly wybuch nuklearny

w jednym ze swoich projektw zrobilem petle na foreach ktora z kazdego elemenu tablicy ($_GET, $_POST, $_COOKIE) zamieniala ewentualn wystapienia wyrazen takich jak "SELECT, UPDATE, INSERT, DELETE, WHERE AND" dodajac do nich np twarda spacje &nbsp; lub jakis inny znak co powodowalo ze ew. zapytanie bylo by z gory obarczone bledem.

coprawda rozwiazanie takie nie jest eleganckie bo wszystkie wystapienia tych wyrazeni byly zamieniane nawet jesli ktos nie mial zlych intencji ale sa one bardzo zadko uzywane w naszym slownictwie a dodanie np. twardej spacji praktycznie niczego nie zmienia w wygladzie takiego komentarza, posta etc.

nie rozumiem dlaczego wszyscy piszą o addslashes, przecież php automatycznie dodaje slashe do wszystkich zmiennych $_GET i $_POST i włamanie opisane przez Najki

[PHP] pobierz, plaintext 
<?php
', haslo='nowe_haslo' WHERE id = '1
[PHP] pobierz, plaintext 

nie ma prawa zadziałać.

Czy mógłby ktoś wyjaśnić mi tą sytuację?

Owszem dodaje, ale chyba tylko, gdy na serwerze jest włączone magic_quotes_gpc ?
A jeśli nie to jakim prawem kolega mi się włamał?

Dodam jeszcze te dwa linki:
http://www.nextgenss.com/papers/SecondOrderCodeInjection.pdf
http://hacking.pl/download.php?file=get&id=113

Temat ciekawy, ale w zasadzie nie wiem jeszcze co moglbym zrobic w swojej aplikacji aby uniemozliwic taki atak i aby bylo to zrobione w profesjonalny sposob. Gdyby ktos mogl zerknac na kod i pomoc mi.
Oto kod ktory sluzy do sprawdzenia hasla i nazwy usera:

[PHP] pobierz, plaintext 
<?php
 
// utworzenie krotkich nazw zmiennych i spr. czy dane sa przek. w zm. sesji
if (!isset($_SESSION['nazwa_uz']))
  $_SESSION['nazwa_uz'] = $HTTP_POST_VARS['nazwa_uz'];
if (!isset($_SESSION['haslo']))
  $_SESSION['haslo'] = $HTTP_POST_VARS['haslo'];
 
//spr. czy zostalo nadane nowe haslo
if (isset($_SESSION['nowe_haslo']))
	$_SESSION['haslo'] = $_SESSION['nowe_haslo'];
 
if (($_SESSION['nazwa_uz'] && $_SESSION['haslo']) || ($_SESSION['nazwa_uz'] == '' || $_SESSION['haslo'] == ''))
// proba logowania, sprawdzenie czy podano login oraz haslo
{
	if (loguj($_SESSION['nazwa_uz'], $_SESSION['haslo']))
	{
	  // jesli uzytkownik znajduje sie w bazie danych rejestracja identyfikatora
	  $HTTP_SESSION_VARS['prawid_uzyt'] = $_SESSION['nazwa_uz'];
 
 
	}
	else
 
?>
[PHP] pobierz, plaintext 

a to kod funkcji wykonujacej to sprawdzenie:

[PHP] pobierz, plaintext 
<?php
 
function loguj($nazwa_uz, $haslo)
// sprawdzenie nazwy uzytkownika i hasla w bazie danych
// jezeli sie �zgadza, zwraca true
// jezeli nie, zwraca false
{
  // polaczenie z baza danych
  $lacz = lacz_bd();
  if (!$lacz)
	return false;
 
  // sprawdzenie unikatowosci nazwy uzytkownika
  $wynik = mysql_query(&#092;"select * from uzytkownik 
						 where nazwa_uz='$nazwa_uz'
						 and haslo = password('$haslo')&#092;");
  if (!$wynik)
	 return false;
 
  if (mysql_num_rows($wynik) > 0)
	 return true;
  else 
	 return false;
}
 
?>
[PHP] pobierz, plaintext 

Chcialbym uniknac mozliwosci wlamania, poprzez wpisanie kodu SQL do pola haslo i uzytkownik:)

przyklad:

[PHP] pobierz, plaintext 
<?php
 
$sql = mysql_query(&#092;"SELECT * FROM news WHERE id=\".$_GET['id']);
 
?>
[PHP] pobierz, plaintext 

wywołanie normalne:


wywołanie zmodyfikowane przez kogostam
np.


zabezpieczenie? ja znalazlem pare...

1. dodanie id2

[PHP] pobierz, plaintext 
<?php
 
if(md5($_GET['id']*4)!=$_GET['id2'])die('Błędny url');
 
?>
[PHP] pobierz, plaintext 

2. wymuszenie typu

[PHP] pobierz, plaintext 
<?php
 
$id = (int)$_GET['id'];
 
?>
[PHP] pobierz, plaintext 

3. mysql_escape_string

[PHP] pobierz, plaintext 
<?php
 
$id = mysql_escape_string($_GET['id']);
 
?>
[PHP] pobierz, plaintext 

ale mam wrazenie ze to dalej nie o to biega... z tych 3 które przedstawilem to pierwsze wydaje mi sie być najrozsądniejsze...

osobiscie uwazam ze dosc dobrym rozwiazaniem jest odpowiednie zarządzanie uprawnieniami, np. stworzyc konto dla www, gdzie moga byc tylko SELECT, INSERT, UPDATE, ewentualnei DELETE

druga sprawa, czy probowales w praktyce wykonac przedstawione przez ciebie polecenie? standardowo (nie jestem pewny czy da sie to przestawic tak zeby bylo inaczej) przez mysql_querynie wykonasz dwóch zapytań

przez mysql_query() nie. ale funckje postgreSQL już to dopuszczają :/
Dlatego userzy tego drugiego mają większy problem.

Co do zabezpieczenia, nie wiem czym się tak przejmujecie? ;]
Ja stosuje jedynie addslashes() oraz usuwam slowo 'UNION' ze zmiennych

dość często jest WHERE coś = liczba gdzie coś jest polem auto_increment i ma wartości liczbowe.. wystarczy przed wykonaniem zapytania sprawdzić czy is_numeric parametr dla Where

Ja do liczb stosuje najczęściej ereg" title="Zobacz w manualu PHP" target="_manual (zwłaszcza w UPDATE, w grze MMORPG). Wtedy mam pewność że osoba która wpisze np -1230 nie wyrządzi mi żadnych szkód. A zabezpieczanie skryptów można trenować na wspomnianym przeze mnie wyżej ExoFusion. Jak ktoś go tak zabezpieczy, że nie będzie żadnych (no, może nie żadnych, a prawie żadnych) błędów to będzie się miał czym pochwalić (ja znałem 2 gry na 10 które były w miarę zabezpieczone, ale i tak padły - właśnie przez SQL Injection)

Hmmm.... wykonanie ereg zajmuje nieco czasu (jak to wyrażeń regularnych). Chyba jednak lepiej się nieco przyłożyć i pobawić kombinacją is_numeric(), is_integer(), intval() i warunkami. Chyba każdy wie jakiego mniej więcej zakresu się spodziewa? Jak nie chcesz liczb ujemnych to po porostu wycinasz je warunkiem i już…
Po co z armatą na muchy;-)

Pozdrawiam
Marcin Staniszczak

@MStaniszczak: podobnież "is_numeric(), is_integer(), intval()" nie są zawsze dobrym wyjściem. Gdzieś czytałem, iż Zend Engine działa tak, iż te funkcje sprawdzają tylko typ zmiennej. Może to doprowadzać do przekłamań, dlatego niektórzy właśnie stosują eregi (co w tamtym artykule także polecano).

@Vengeance:
Więc działa to tak:
is_numeric() - sprawdza czy cos co podałeś jako argument jest cyfrą. Dokładniej czy nie ważne czy cyfra jest stringiem ('123') czy cyfrą (123) czy cyfrą ułamkową (123.123). Jeśli jest cyfrą zwraca true;

is_integer() - zwraca true TYLKO wtedy gdy parametr:
a) jest cyfra
b) jest typu integer (czyli dla '123' nie zwróci true)
c) jest cyfrą CAŁKOWITĄ (czyli dla 123.123 nei zwróci true).
WSZYSTKIE te punkty muszą być spełnione jednocześnie

intval() - nic nie sprawdza... Zamienia parametr na integera (jesli zaczyna się od cyfry). Czyli:

[PHP] pobierz, plaintext 
<?php
$i = intval('123')
?>
[PHP] pobierz, plaintext 

powoduje przepisanie do $i wartości 123 typu INTEGER.

[PHP] pobierz, plaintext 
<?php
$i = intval('123 ala ma kota')
?>
[PHP] pobierz, plaintext 

działa podobnie - w $i otrzymujemy INTEGER-a o wartości 123.
Dodatkowo intval() ignoruje początkowe białe znaki i oczywiście poprawnie obsługuję znaki +/- przed cyfrą.
W przypadku niepoprawnego parametru podanego do intval:

[PHP] pobierz, plaintext 
<?php
$i = intval('ala ma kota');
?>
[PHP] pobierz, plaintext 

zwraca 0 (czyli w przykładzie $i otrzymuje wartość 0).

I NIE MA ODSTPSTW OD TYCH REGÓŁ.
Zamieszanie może powstać gdy się nie wie jak te funkcje działają (jest ich więcej - to tylko 3 z całej grupy). Ale to tak jak z operatorami...
Zobacz co da w wyniku:

[PHP] pobierz, plaintext 
<?php
$ret  = '123 ala'+'123ma kota';
echo $ret;
?>
[PHP] pobierz, plaintext 

Pozdrawiam
Marcin Staniszczak

@MStaniszczak: ja tam nie wiem Mówie tylko co czytałem. Skoro ktoś to dostrzegł w kodzie Zend Engine (może go analizowałeś, ja nie) to miał jakieś powody by tak twierdzić Może już to poprawili albo coś. Przytaczam tylko swoją "wiedzę" na ten temat, choc sam także używam is_integer() itp.

@Vengeance: Ano analizowałem Zend Engina dość dokładnie (jeszcze raz mnie to czeka).
Oto funkcja odpowiedzialna za is_numeric (która nie jest częścią Zend Engine-u):



A to np. is_string:

do tego php_is_type:


A is_integer, is_double, is_real ma jeszcze ładniejszą postać (sam sprawdź). To nie może działać źle - używaj bez obaw;-)

Pozdrawiam
Marcin Staniszczak

W PHPBB też jest coś takiego używane, ale - znowu - nie prościej użyć rzutowania typów? Ostatnio zrobiłem coś takiego na zmiennej $id z GET'a i nawet jeśli dałem id=3fk5 to jeśli zrzutowałem to na (int) otrzymywałem 35. Chyba o to wam chodzi, nie?

To o czym piszesz sprawdza sie przy liczbach, natomiast do ciagow znakow trzeba juz inaczej do tego podchodzic.

@krzemian:


Ciekawe co piszesz - sprawdź co zwróci skrypt...

[PHP] pobierz, plaintext 
<?php
$x = '3fk5';
$a = (int)'3fk5';
$b = (int)$x;
 
echo $a.'<br>'.$b;
?>
[PHP] pobierz, plaintext 

A teraz popróbuj:

[PHP] pobierz, plaintext 
<?php
$a = '1abc';
$b = '2ii';
$d = '-3ala ma kota a kot ma ale';
 
$ret = $a+$b;
echo $ret.'<br>';
 
$ret += $d;
echo $ret.'<br>';
 
$ret = $b*$d;
echo $ret.'<br>';
 
?>
[PHP] pobierz, plaintext 

Pozdrawiam
Marcin Staniszczak

Moze ktos napisze klase, lub zbiór funkcji, alby uniknąc tego typu problemów, tylko ze... tu problem nie polega na tym, co zrobic zeby sprawdzic jaki typ danych user wpisze, tylko raczej na tym jak mądrze napisac zapytanie.

Ja używam czegoś takiego (ma już swoje latka - dodałem tylko public;-):

[PHP] pobierz, plaintext 
<?php
require_once(ROOT_PATH.'Libraries/Tools/email.inc.php');
 
define('VALIDATE_EMAIL', 1);
define('VALIDATE_STRING', 2);
define('VALIDATE_INTEGER', 3);
define('VALIDATE_DOUBLE', 4);
define('VALIDATE_POSTCODE', 5);
define('VALIDATE_BOOLEAN', 6);
 
class Validate {	
	private function checkStrSize($value, $minSize, $maxSize) {
		if(strlen(trim($value))>$maxSize || strlen(trim($value))<$minSize)
			return false;
		else
			return true;
	}
 
	//array( array('typ', 'value', 'min', 'max', 'correct')
	public function check($array) {
		$ret = array(true, $array);
 
		$count = count($array);
		for($i=0; $i<$count; $i++) {
			switch($array[$i][0]) {
				case VALIDATE_EMAIL: // e-mail
					if(!tverifyEmail($array[$i][1])) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
				case VALIDATE_STRING: // string
					if(!$this->checkStrSize($array[$i][1], $array[$i][2], $array[$i][3])) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
				case VALIDATE_INTEGER: //integer
					if(!is_numeric($array[$i][1]) || 
						(strpos($array[$i][1], ',')!==false) || (strpos($array[$i][1], '.')!==false) ||
						$array[$i][1]<$array[$i][2] || $array[$i][1]>$array[$i][3]) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
				case VALIDATE_DOUBLE: // double
					if(!is_numeric($array[$i][1]) || $array[$i][1]<$array[$i][2] || $array[$i][1]>$array[$i][3]) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
				case VALIDATE_POSTCODE:
					if(!@ereg('^[0-9]{2}-[0-9]{3}$', $array[$i][1])) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
				case VALIDATE_BOOLEAN:
					if(!is_bool($array[$i][1])) {
						$ret[0] = false;
						$ret[1][$i][4] = false;
					} else
						$ret[1][$i][4] = true;
				break;
			}
		}
 
		return $ret;
	}
}
?>
[PHP] pobierz, plaintext 

A plik email.inc.php:

[PHP] pobierz, plaintext 
<?php
if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN')
	$OS_detect = 'Windows NT';
else
	$OS_detect = 'Unix';
 
function checkdnsrrWinNT($host, $type = '') {
  if(!empty($host)) {
 
	if($type=='')
	  $type = 'MX';
 
	  @exec(&#092;"nslookup -type=$type $host\", $output);
 
	  while(list($k, $line)=each($output)) {
		if(eregi( &#092;"^$host\", $line)) {
		  return true;
		}
	  }
	  return false;
  }
}
 
 
function multiOScheckdnsrr($host, $type='') {
  global $OS_detect;
 
  if(strcmp($OS_detect,'Windows NT')===0)
	return checkdnsrrWinNT($host, $type);
  else
  if(strcmp($OS_detect, 'Unix')===0) {
	if(strcmp($type, '')===0 || strcmp($type, 'MX')===0)
	  return checkdnsrr($host, MX);
	elseif(strcmp($type, 'A')===0)
	  return checkdnsrr($host, A);
	elseif(strcmp($type, 'NS')===0)
	  return checkdnsrr($host, NS);
	elseif(strcmp($type, 'SOA')===0)
	  return checkdnsrr($host, SOA);
	elseif(strcmp($type, 'PTR')===0)
	  return checkdnsrr($host, PTR);
	elseif(strcmp($type, 'CNAME')===0)
	  return checkdnsrr($host, CNAME);
	elseif(strcmp($type, 'AAAA')===0)
	  return checkdnsrr($host, AAAA);
	elseif(strcmp($type, 'ANY')===0)
	  return checkdnsrr($host, ANY);
  }
}
 
function verifyEmail($email) {
	$wholeexp = '/^(.+?)@(([a-z0-9.-]+?).[a-z]{2,5})$/i';
	$userexp = &#092;"/^[a-z0-9~!#$%&()-_+=[];:'\",./]+$/i\";
	if(preg_match($wholeexp, $email, $regs)) {
	  $username = $regs[1];
	  $host = $regs[2];
	  if(multiOScheckdnsrr($host, 'MX')) {
		if(preg_match($userexp, $username)) {
		  return true;
		 }else {
		   return false;
		 }
	   }else {
		 return false;
	   }
	}else {
	  return false;
	}
}
?>
[PHP] pobierz, plaintext 

Dalej validuje już w odpowiednich funkcjach - inaczej chyba ciężko;-)

Pozdrawiam
Marcin Staniszczak

no to i moje 3 grosze. primo: nie ma to jak szczyt lenistwa:



mam nadzieje, ze sie podoba oczywiscie nie wszedzie uzyteczne, niekoniecznie optymalne i nie zawsze dzialamy tylko na $_REQUEST. ale mniej wiecej juz znacie geneze mozliwe modyfikacje oczywiscie:



itd... zamiast addslashes mozna dac intvalue, albo i obydwa.. jesli nie frunie duzo danych to i tak nie bedzie roznicy w czasie wykonywania skryptu - a nie trzeba z dokladnoscia ksiegowego sprawdzac czy o czyms (czyt. ktorejs zmiennej) nie zapomnielismy

pierwsza metoda (dla nei wiedzacych) symuluje niejako Register Globals na On, czyli zamiast odwolywac sie do strval($_REQUEST['zmienna']) mozemy po wykonaniu tamtego odwolac sie po prostu do $zmienna, ktora juz jest sparsowana pod kategm 'nieporzadanej' zawartosci

EDIT:

dziala oczywiscie i w druga strone. jesli do $rekord zczytamy sobie jakies dane z bazy danych to mozna sobie leniwie wrzucic:



tylko nalezy pamietac, aby czytac dane za pomcoa mysql_fetch_assoc lub row - nie mysql_fetch_array, gdyz wtedy mamy podwojne klucze w tablicy i wiadomo co sie stanie

@docent: szczerze to zadna nowosc

----
Przez chwilke pomyslalem, ze mozna by zmienne przekazyawc przez:
www.site.com?int[postID]=4&string[mode]=showAll&bool[save]=true

I robic odpowiednie petle na tablicach, stosujac odpowiednie funkcje

I otrzymali byśmy w GET coś takiego:-) Więc bardzo miło;-)



Pozdrawiam
Marcin Staniszczak

heihei ja nie mowie, ze nowowsc - ale informacja dla tych, ktorzy nie znaja a istotnie - jest pomocna :] bardziej mnie interesowalo zdanie innych na ten temat - sposob w zasadzie sam sobie stwrozylem (choc pewnie kazdy na to wpadl we wlasnym zakresie) i interesowalo mnie tylko zdanie innych w tej kwestii

w sumei można też tak, np. dla newsów:

[PHP] pobierz, plaintext 
<?php
 
if(isset($_GET['id'])) {
  $query1 = &#092;"SELECT MAX(ID) FROM newsy\";
list($d) = mysql_fetch_row(mysql_query ($query1));
 
if ($_GET['id']> $d) {
print &#092;"Blad\";
} else {
 
// kod 
 
}
}
 
?>
[PHP] pobierz, plaintext 

To blokuje wysiwetlanie newsa np. 9999 jak i tekstu. w zmiennej id.

no dobra, ale to niewiele ma do zabiezpieczenia przed SQL Injection...
akurat wyswietlenie newsa nr 99999 nie wprowadza zadej nowej mozliwosci ataku....

wracając do tematu....

http://www.phpsolmag.org/pl/modules/wmpdow...php?cid=1&lid=6

tutaj jest darmowy artykuł z magazynu php solutions

heh no ale jak ktoś wprawdzi DROP TABLE itp. to też zablokuje

Szczerze mówiąc, to wolę stracić tą sekundę w czasie wykonywania skryptu niż stracić na bezpieczeństwie. I mniejszy bałagan w kodzie - jedna funkcja zamiast szeregu IF. A wyrażenie regularne można w razie czego łatwo zmodyfikować jeśli się znajdzie błąd.

IMHO dosc wygodna i bezpieczne rozwiazanie:

[PHP] pobierz, plaintext 
<?php
 
function CheckValue($type,$v,$default=&#092;"\")
{
  if (!function_exists(&#092;"CheckValue_$type\")) return \"\";
  $func=&#092;"CheckValue_$type\";
  return $func($v,$default);
}
 
function SQLValue($type,$v,$default=&#092;"\")
{
  if (!function_exists(&#092;"SQLValue_$type\")) return \"\";
  $func=&#092;"SQLValue_$type\";
  return $func($v,$default);
}
?>
[PHP] pobierz, plaintext 

a potem definiujemy swoje funckje sprawdzajace

[PHP] pobierz, plaintext 
<?php
 
function CheckValue_int($v,$default=&#092;"\")
{
  if (!is_numeric($v)) return (int)$default;
  return (int) $v;
}
 
function SQLValue_int($v,$default=&#092;"\")
{
  return CheckValue_int($v,$default);
}
 
function CheckValue_ident($v,$default=&#092;"\")
{
  $v=trim($v);
  if (!preg_match(&#092;"/^([wd]+)$/\",$v)) return $default;
  return $v;
}
 
function SQLValue_ident($v,$default=&#092;"\")
{
  $v=CheckValue_ident($v,$default);
  $v=addslashes($v);
  return &#092;"'$v'\";
}
 
function CheckValue_text($v,$default=&#092;"\")
{
  $v=trim($v);
  $v=htmlspecialchars($v,ENT_QUOTES);
  return $v;
}
 
function SQLValue_text($v,$default=&#092;"\")
{
  $v=CheckValue_text($v,$default);
  $v=addslashes($v);
  return &#092;"'$v'\";
}
 
itd..
 
?>
[PHP] pobierz, plaintext 

a wykoanie zapytania np tak:

[PHP] pobierz, plaintext 
<?php
 
$result=$sql->SendQuery(sprintf(
	&#092;"select * from przedmiot where id=%s and parent=%s;\",
	SQLValue(&#092;"ident\",$GLOBALS[\"id\"]),
		SQLValue(&#092;"ident\",$GLOBALS[\"parent\"])
  ));
 
?>
[PHP] pobierz, plaintext 

I w ten sposob nawet przy braku magic quotes czy tez mozliwosci wielu zapytan w jednemy poleceniu, nikt nie przepcha zadnego zlosliwego kodu.

A jak go rozwiązać?

Przecież addslashes() to tosamo co mysql_escape_string()

1. np. mozna przefiltrowac ciag wyrzucajac wszelkie sredniki

2. funkcja nie sa sobie rownoznaczne

mysql_real_escape_string() calls MySQL's library function mysql_escape_string, which prepends backslashes to the following characters: NULL, \x00, \n, \r, \, ', " and \x1a.

addslashes() : Returns a string with backslashes before characters that need to be quoted in database queries etc. These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte).

Nie rozumiem o co Wam chodzi z tym addslashes().
Czy chodzi o podwójne stosowanie addslashes()?
Raz przecież robi to samo php. Otrzymując dane z formularzy dostajemy postać:
To jest \"smaczny deser\"
Czy trzeba to jeszcze raz potraktować addslashes() i otrzymać:
To jest \\\"smaczny deser\\\"
i dopiero wtedy wrzucać do bazy? Już od dawna mnie frapuje ten problem czy może ktoś to wyjaśnić?

addslashes() (jeden raz!!!) powinno w zupelnosci wystarczyc. przy sotsowaniu mysql_escape_string moze sie pojawic porblem przy wyciganiu danych z bazy i stosowaniu stripslashes()

Smieszne sa te wasze rozwazania, nie szkoda czasu?
Przypomina mi to wiare w zabobony.
Addslashes zalatwia calkowice sprawe, sprobujcie sie wlamac bez mozliwosci uzycia apostrofu. Mozecie wpisywac UNION, srednik i co tylko chcecie, ale to nic nie da, bo i tak co najwyzej zostanie wciagniete do bazy jako czesc stringa.
Do liczb is_numeric i wystarczy.

Chodzi o to, że slash dodawany jest jeżeli włączona jest jakaś opcja (już nie pamiętam o jaką chodziło - szukaj na pierwszej stronie tego topicu).
A jak dodadsz addslashes() to nawet jak dodawanie slasha jest wyłączone to ty massz pewność.


Bezpieczeństwo - szkoda czasu? Nie dla mnie :roll2:

Skoro tak mówisz to będę tak robił. Jaby co to wiemy do kogo z pretensjami

Dziękuje za odpowiedź i pozdrawiam

A co z bezpieczenstwem ma wspolnego kasowanie ciagow typu UNION ze zmiennej, w ktorej i tak kazdy apostrof zostanie wysleszowany? Nic.
addslash lub magic quote zalatwia calkowicie sprawe sql injection, oczywiscie pozostaje sprawdzenie czy nadeslane dane mieszcza sie w dozwolonym zakresie, ale to juz inna historia.

Możesz rozwinąć?

Po prostu musimy sprawdzic, czy przeslane wartosci maja odpowiedni przedzial, czyli np. wpisana ilosc sztuk nie przekracza stanu magazynu. W przypadku wartosci tekstowych mozna porownac wyszukac ciagu w zadeklarowanej wczesniej tablicy lub uzyc switch of. Jednak to wszystko nie ma nic wspolnego ze sql injection, przed ktorym pelna obrone zapewnia defaultowa konfguracja php, a jesli wylaczymy magic quote, pozostanie addslashes.

smiem twierdzic ze jest to zbyt odwazne stwierdzenie. wyobraz sobie taka sytuace :

URL: www.strona.php?articleid=12
filtrujemy: $id = addslashes($_GET['articleid'])
wstawiamy w zapytanie : query = 'SELECT * FROM articles WHERE id='.$id;

i teraz np. URL www.strona.php?articleid=12 OR 1

jak widzisz w tym przykladzie (co prawda dosc naiwnym) addslashes nie zalatwilo sprawy...

panowie!!!!

juz ktos pisal o tym ze wiemy co "spodziewamy" sie otrzymac jesli chodzi o liczby to nie addslashes tylko intval() lub settype()

$id = intval($_GET['articleid']);

i jesli gosc wklepie tam cokolwiek to i tak bedzie zutowane na liczbe
nawet ze wzglegow optymalizacji lepiej jest wykonac zapytanie
SELECT * FROM table WHERE id=10
niz
SELECT * FROM table WHERE id='10'
poniewaz MySQL nie musi robic konwersji

addslashes uzywamy jesli mamy doczynienia z wartosciami textowymi lub mieszanymi

tak na marginesie to zadna funkcja nie zwalnia od myslenia!

To chyba oczywiste, ze musimy sprawdzic czy liczby rzeczywiscie sa liczbami, przy okazji sprawdzajac ich zakres. Zreszta pisalem o tym wyzej. Dodam tylko, ze ja sklaniam sie raczej do sprawdzania typu, a nie konwersji na sile. Jesli typ sie nie zgadza, to mail do admina i die().

Nie jest to odwazne stwierdzenie tylko fakt. Zaloze sie, ze ci co usuwaja UNION i sredniki z ciagow, na wszelki wypadek klikaja "zastosuj" w windowsowych okienkach tuz przed kliknieciem "ok" :-)

Dorzucę się do tego wątku i powiem, że moim zdaniem najlepszym zabezpieczeniem jest:

1. ustawienie w php.ini opcji get_magic_quotes_gpc na ON

2. stosowana równolegle z powyższym funkcja czyszcząca otrzymane dane - od razu uprzedzam, że wbrew nazwie nie dotyczy ona tylko danych przesyłanych metodą POST:

[PHP] pobierz, plaintext 
<?php
 
function OczyscPost($Zmienna, $Rozmiar)
{
		if (get_magic_quotes_gpc())
		{
				$Zmienna = stripslashes($Zmienna);
		}
		$Zmienna = trim(strip_tags(str_replace(&#092;"\"\", \"\", $Zmienna)));
		$Zmienna = substr(str_replace(&#092;"'\",\"\", $Zmienna),0,$Rozmiar);
		$Zmienna = sprintf(&#092;"%s\",$Zmienna);
		return $Zmienna;
}
 
?>
[PHP] pobierz, plaintext 

3. Funkcja zapewniająca dodatkowe filtrowanie dla identyfikatorów, przekazywanych w URL'u:

[PHP] pobierz, plaintext 
<?php
 
function DoCyfry($Zmienna)
{
		$Zmienna = intval($Zmienna);
		if(is_int($Zmienna))
		{
				return $Zmienna;
		}
		else
		{
				return 0;
		}
}
 
?>
[PHP] pobierz, plaintext 

Zastosowanie:

[PHP] pobierz, plaintext 
<?php
 
$Nazwisko = OczyscPost($_POST['Nazwisko'], 40);
$ID = DoCyfry(OczyscPost($_GET['ID'], 10));
 
?>
[PHP] pobierz, plaintext 

Jakieś uwagi?

Pozdrawiam,
K

Hyh... kompletnie się z Tobą nie zgodzę :]

Union da się wiele razy wykorzystać nie stosując nawet jednego apostrofu!
Więc samo używanie addslashes() w przypadku posiadania MySQL 4 nie jest bezpieczne !

a takie pytanko jeszcze.
czy umozliwienie stosowania wszystkich znakow np. spacji przy tworzeniu loginu podczas rejestracji jest niebezpieczne ?

wszystkie znaki - oczywiscie przy wlaczanej dyrektywie gpc_magic_quotes

ktuvok - uzywam podobnego mechanizmu i na razie nie ma problemow (moze dlatego, ze nikt nie robil testow, albo nie zauwazono, ze cos jest nie tak). dodatkowo uzywam htmlspecialchars.

Nie wiem czy był dawany ten link lecz jeśli nie to prosze o usunięcie postu, a takto ciekawy art do przeczytanie http://www.computerworld.pl/artykuly/31505.html