gefährlicher Fehler bei der Funktion addslashes()

07.05.2005, 19:10

Hallo

ist jemandem dieser Fehler bekannt? Ich habe einen $text der eine mysql-injection enthält, in der Form:

$text = "'); DROP TABLES; 'bla';"

mit

$text = addslashes($text)

wird der Code NICHT entschärft!! Das einfache Anführungszeichen am Anfang des Strings bleibt unangetastet. Kein Backslash davor!!

Die einfachen Anführungszeichen in der Mitte jedoch haben einen Backslash vorangestellt.

Das ist eine Katastrophe! Sowas unlogisches ist mir noch nie unter gekommen. Kann jemand helfen?

robo47 · 07.05.2005, 19:14

?? wie bitte?

mein testcode:

PHP-Code:

  <?php

echo ("'); DROP TABLES; 'bla';");

echo '
'."\n";

echo (addslashes("'); DROP TABLES; 'bla';"));

?>

das ergebnis:

Code:

'); DROP TABLES; 'bla';

\'); DROP TABLES; \'bla\';

weis ja ned was du für ein php hast ...
getestet lokal auf xampp

07.05.2005, 19:15

getestet bei 1&1: und es funktioniert definitiv NICHT. Ein Anführungszeichen am Anfang wird nicht geslasht.

07.05.2005, 19:18

Test bei 1&1:

http://www.cix88.de/test.php

07.05.2005, 19:22

mich macht das krank! Bei einer anderen Variable geht es einwandfrei. so hole ich diesen text aus einer email:

PHP-Code:

  <?php

$mailtext .= imap_fetchbody($mailbox, $mailcount, $partstring);

 
[...]

 
$mailtext = quoted_printable_decode($mailtext);

 
[...]

 
$mailtext = strip_tags(addslashes($mailtext));

 
?>

kann's sein das addslashes nicht damit klar kommt, weil der String nicht das ist wonach er aussieht? falsche kodierung oder sowas? Im Browser seh ich den shit aber in klartext. Und er slasht ja auch die Anführungszeichen, nur halt nicht wenn sie am Anfang stehen!

07.05.2005, 19:27

scheint völlig egal zu sein was ich ausprobiere solange der output von der E-Mail stammt, funktioniert addslashes nicht korrekt.

habe auch diesen quoted_printable_decode mal weg genommen. Bringt nix. Und ein addslashes da rein gebaut. Bringt auch nichts.

Merkwürdig ist, das es beim Subject funktioniert.

robo47 · 07.05.2005, 19:35

...
teste mal mit ord()
ob das zeichen wirklich das ist für das es sich ausgibt.

07.05.2005, 19:36

Zitat:

imap_fetchbody

Warum benutze nicht einfach imap_body() ?

Vieleicht hilf ja auch das dir etwas weiter:
http://www.php.net/manual/de/functio...-fetchbody.php

(bin jetzt zu faul, um selber zu testen)

07.05.2005, 19:57

doch, es handelt sich ganz genau um das "richtige" zeichen...

trotztdem wird es nicht geslasht. und es ist nur bei dieser einen verfluchten Variable so. Der content von der Mime-Mail der dekodiert wurde.

d.h. sql-befehle in emails führt mein skript trotz addslashes aus, beim speichern der mail in die Datenbank. aus irgend einem grund erkennt addslashes hier nichts und ist blind.

ok ich gebs auf, addslashes ist fürn arsch. andere lösung... welche Zeichen werden normalerweise von addslashes geslasht? ausserdem lese ich gerade, das addslashes eine dämliche lösung ist um die datenbank vor mysql-injection zu schützen. man muss innerhalb der query das hier nehmen:

mysql_real_escape_string()

alles andere ist bullshit

siehe: http://de.php.net/manual/de/function...ape-string.php

werds wohl oder übel mal testen müssen, mit einer harmloseren injection als "DROP TABLES;"

07.05.2005, 20:13

ich werd bekloppt die anwendung von mysql_real_escape_string() ist ja sowas von brutal kompliziert das macht doch keiner. glaub da bin ich extrem auf dem holzweg.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Rekursive Funktion bricht ab...	duras666	PHP Tipps 2008	9	28.04.2008 11:36
Name der aufrufenden Funktion	mAy^daY	PHP Tipps 2007	5	20.01.2007 22:55
Fehler in rekursiver Funktion	tinchen	PHP Tipps 2006	1	27.08.2006 20:24
Komplexe Funktion: +Übersichtlichkeit, -Performance	Jacks Rache	PHP Tipps 2006	3	07.06.2006 14:22
fehler in einer funktion	imported_master	PHP Tipps 2006	3	08.04.2006 21:10
PHP-GTK Tutorial		Beitragsarchiv	9	02.11.2005 21:07
(schnellere) Funktion zum Zusammenfassen von CSS		PHP-Fortgeschrittene	21	08.08.2005 16:47
In einer Funktion auf eine Funktion der Klasse zugreifen	phpbeginner	PHP Tipps 2005-2	2	28.07.2005 00:30
Funktion in einer Funktion aufrufen?		PHP Tipps 2005-2	11	14.06.2005 15:14
Problem mit einer rekursiven Funktion in einer Klasse	ajo_silent	PHP-Fortgeschrittene	6	13.06.2005 16:40
[Erledigt] Wie kann ich beliebig viele Werte an eine Funktion übergeben		PHP Tipps 2005	11	25.01.2005 10:44
[Erledigt] sql syntax error in funktion, kann aber nix finden :(		PHP Tipps 2004	10	20.07.2004 19:19
[Erledigt] Referenz auf Funktion übergeben		PHP-Fortgeschrittene	7	20.07.2004 09:51
mysql_real_escape_string - Fehler	Schaelle	Datenbanken	0	03.07.2004 23:32
GDLIB -> Fehler : xxx.jpg is not a valid JPEG file		PHP-Fortgeschrittene	11	09.06.2004 22:41

07.05.2005, 19:10
Gast Beiträge: n/a	gefährlicher Fehler bei der Funktion addslashes() Hallo ist jemandem dieser Fehler bekannt? Ich habe einen $text der eine mysql-injection enthält, in der Form: $text = "'); DROP TABLES; 'bla';" mit $text = addslashes($text) wird der Code NICHT entschärft!! Das einfache Anführungszeichen am Anfang des Strings bleibt unangetastet. Kein Backslash davor!! Die einfachen Anführungszeichen in der Mitte jedoch haben einen Backslash vorangestellt. Das ist eine Katastrophe! Sowas unlogisches ist mir noch nie unter gekommen. Kann jemand helfen?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

07.05.2005, 19:14
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	?? wie bitte? mein testcode: PHP-Code: `<?php echo ("'); DROP TABLES; 'bla';"); echo ' '."\n"; echo (addslashes("'); DROP TABLES; 'bla';")); ?>` das ergebnis: Code: '); DROP TABLES; 'bla'; \'); DROP TABLES; \'bla\'; weis ja ned was du für ein php hast ... getestet lokal auf xampp __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

07.05.2005, 19:15
Gast Beiträge: n/a	getestet bei 1&1: und es funktioniert definitiv NICHT. Ein Anführungszeichen am Anfang wird nicht geslasht.

07.05.2005, 19:18
Gast Beiträge: n/a	Test bei 1&1: http://www.cix88.de/test.php

07.05.2005, 19:22
Gast Beiträge: n/a	mich macht das krank! Bei einer anderen Variable geht es einwandfrei. so hole ich diesen text aus einer email: PHP-Code: `<?php $mailtext .= imap_fetchbody($mailbox, $mailcount, $partstring); [...] $mailtext = quoted_printable_decode($mailtext); [...] $mailtext = strip_tags(addslashes($mailtext)); ?>` kann's sein das addslashes nicht damit klar kommt, weil der String nicht das ist wonach er aussieht? falsche kodierung oder sowas? Im Browser seh ich den shit aber in klartext. Und er slasht ja auch die Anführungszeichen, nur halt nicht wenn sie am Anfang stehen!

07.05.2005, 19:27
Gast Beiträge: n/a	scheint völlig egal zu sein was ich ausprobiere solange der output von der E-Mail stammt, funktioniert addslashes nicht korrekt. habe auch diesen quoted_printable_decode mal weg genommen. Bringt nix. Und ein addslashes da rein gebaut. Bringt auch nichts. Merkwürdig ist, das es beim Subject funktioniert.

07.05.2005, 19:35
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	... teste mal mit ord() ob das zeichen wirklich das ist für das es sich ausgibt. __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

07.05.2005, 19:57
Gast Beiträge: n/a	doch, es handelt sich ganz genau um das "richtige" zeichen... trotztdem wird es nicht geslasht. und es ist nur bei dieser einen verfluchten Variable so. Der content von der Mime-Mail der dekodiert wurde. d.h. sql-befehle in emails führt mein skript trotz addslashes aus, beim speichern der mail in die Datenbank. aus irgend einem grund erkennt addslashes hier nichts und ist blind. ok ich gebs auf, addslashes ist fürn arsch. andere lösung... welche Zeichen werden normalerweise von addslashes geslasht? ausserdem lese ich gerade, das addslashes eine dämliche lösung ist um die datenbank vor mysql-injection zu schützen. man muss innerhalb der query das hier nehmen: mysql_real_escape_string() alles andere ist bullshit siehe: http://de.php.net/manual/de/function...ape-string.php werds wohl oder übel mal testen müssen, mit einer harmloseren injection als "DROP TABLES;"

07.05.2005, 20:13
Gast Beiträge: n/a	ich werd bekloppt die anwendung von mysql_real_escape_string() ist ja sowas von brutal kompliziert das macht doch keiner. glaub da bin ich extrem auf dem holzweg.