mysql_real_escape_string() immer ?

cytrobic · 06.09.2006, 12:22

Soll das immer rein oder nur bei SELECT abfragen ?
Oder auch bei UPDATE und INSERT ?

Zergling-new · 06.09.2006, 12:51

Hallo,
es muss überall dort angewendet werden, wo manuelle Eingaben des Users ins Spiel kommen (könnten), also zB per Formular-Eingaben.

Dabei ist es egal ob es sich um einen SELECT, UPDATE oder INSERT handelt.
Mit SELECT könnte ein Angreifer Daten anzeigen lassen, die ihn nichts angehen, mit UPDATE könnte er das Passwort des Administrators überschreiben und ein neues setzen (das nur er kennt) oder allgemein Daten manipulieren und INSERT ist da auch nicht besser.

Beste Anwendung von mysql_real_escape_string() siehe Beispiel 3:
http://de.php.net/mysql_real_escape_string

cytrobic · 06.09.2006, 14:01

ich habe es bis dato immer gemacht wie in Beispiel 1 bzw:

PHP-Code:

  $query = ("SELECT * FROM tabelle WHERE user = '".mysql_real_escape_string($_SESSION['username'])."' LIMIT 1");

ist das so auch korrekt ? Natürlich nur bei nicht numerischen werten.
Oder ist es nicht sinvoll das direkt ins query zu setzen ?

CC84 · 06.09.2006, 14:06

Zerglings Kommentar stimmt nicht ganz, weil bei einem guten SQL Injection ist man theoretisch gar nicht mehr auf den ursprünglichen SQL Query angewiesen, da dieser einfach regulär beendet und dann ein neuer query eingeführt wird.

Genaueres siehe hier:
http://de.wikipedia.org/wiki/SQL-Injection

Zergling-new · 06.09.2006, 14:06

Wie gesagt, schau dir mal Beispiel 3 aus dem Manual an.

PHP-Code:

  <?php

function quote_smart($value)

{

   // Ueberfluessige Maskierungen entfernen

   if (get_magic_quotes_gpc()) {

       $value = stripslashes($value);

   }

   // In Anfuehrungszeichen setzen, sofern keine Zahl

   // oder ein numerischer String vorliegt

   if (!is_numeric($value)) {

       $value = "'" . mysql_real_escape_string($value) . "'";

   }

   return $value;

}

 
// Verbinden mit der Datenbank

$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')

   OR die(mysql_error());

 
// Erstellen eines sicheren Query

$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",

           quote_smart($_POST['username']),

           quote_smart($_POST['password']));

 
mysql_query($query);

?>

Session-Daten musst du übrigens nicht unbedingt damit behandeln, schließlich hast du die Daten dort hineingeschrieben. Natürlich kann ein Angreifer aber auch versuchen, SQL-Code über den Nicknamen einzuschleusen.
Musst du eben alles bedenken und wie immer gilt eben: Alles was vom User kommt ist eine potenzielle Gefahr.

CC84 · 06.09.2006, 14:07

Zitat:

Zitat von cytrobic

ich habe es bis dato immer gemacht wie in Beispiel 1 bzw:

PHP-Code:

  $query = ("SELECT * FROM tabelle WHERE user = '".mysql_real_escape_string($_SESSION['username'])."' LIMIT 1");

ist das so auch korrekt ? Natürlich nur bei nicht numerischen werten.
Oder ist es nicht sinvoll das direkt ins query zu setzen ?

Ich persönlich finde es nicht so praktisch, weils unübersichtlich ist, aber funktionell ist es richtig.

PS.: Eine table Tabelle zu nennen ist übrigens auch nicht der ganz große Wurf.

Zergling-new · 06.09.2006, 14:09

Zitat:

Zitat von CC84

Zerglings Kommentar stimmt nicht ganz, weil bei einem guten SQL Injection ist man theoretisch gar nicht mehr auf den ursprünglichen SQL Query angewiesen, da dieser einfach regulär beendet und dann ein neuer query eingeführt wird.

Richtig, allerdings ist das bei mysql_query() nicht möglich.

cytrobic · 06.09.2006, 14:14

Zitat:

PS.: Eine table Tabelle zu nennen ist übrigens auch nicht der ganz große Wurf.

...das is nurn beispiel, kein realcode ...

Thx für die antworten, also kann mans direkt ins query einbauen (einziger knackpunkt ist die übersichtlichkeit). Desweiteren ist es: SQL code an ein abgeschlossen query zu hängen mit mysql_query() nicht mehr möglich, dann ists also schon ziemlich sicher.

Basti · 06.09.2006, 20:10

Hi.

Biete in deinem MySQL-Objekt einfach eine Methode an, die als ersten Parameter die Query mit Platzhaltern und als zweiten ein Array mit den Werten erwartet. Damit hast du deine Übersichtlichkeit schnell wieder.

Basti

PS:
Ach ja: sprintf() sollte ich dabei vielleicht noch erwähnen

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

06.09.2006, 12:22
cytrobic Erfahrener Benutzer Registriert seit: 01.02.2004 Beiträge: 550	mysql_real_escape_string() immer ? Soll das immer rein oder nur bei SELECT abfragen ? Oder auch bei UPDATE und INSERT ? __________________ keine


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.09.2006, 12:51
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Hallo, es muss überall dort angewendet werden, wo manuelle Eingaben des Users ins Spiel kommen (könnten), also zB per Formular-Eingaben. Dabei ist es egal ob es sich um einen SELECT, UPDATE oder INSERT handelt. Mit SELECT könnte ein Angreifer Daten anzeigen lassen, die ihn nichts angehen, mit UPDATE könnte er das Passwort des Administrators überschreiben und ein neues setzen (das nur er kennt) oder allgemein Daten manipulieren und INSERT ist da auch nicht besser. Beste Anwendung von mysql_real_escape_string() siehe Beispiel 3: http://de.php.net/mysql_real_escape_string

06.09.2006, 14:01
cytrobic Erfahrener Benutzer Registriert seit: 01.02.2004 Beiträge: 550	ich habe es bis dato immer gemacht wie in Beispiel 1 bzw: PHP-Code: `$query = ("SELECT * FROM tabelle WHERE user = '".mysql_real_escape_string($_SESSION['username'])."' LIMIT 1");` ist das so auch korrekt ? Natürlich nur bei nicht numerischen werten. Oder ist es nicht sinvoll das direkt ins query zu setzen ? __________________ keine

06.09.2006, 14:06
CC84 Erfahrener Benutzer Registriert seit: 03.01.2006 Beiträge: 253	Zerglings Kommentar stimmt nicht ganz, weil bei einem guten SQL Injection ist man theoretisch gar nicht mehr auf den ursprünglichen SQL Query angewiesen, da dieser einfach regulär beendet und dann ein neuer query eingeführt wird. Genaueres siehe hier: http://de.wikipedia.org/wiki/SQL-Injection

06.09.2006, 20:10
Basti Erfahrener Benutzer Registriert seit: 18.07.2004 Beiträge: 2.162 PHP-Kenntnisse: Fortgeschritten	Hi. Biete in deinem MySQL-Objekt einfach eine Methode an, die als ersten Parameter die Query mit Platzhaltern und als zweiten ein Array mit den Werten erwartet. Damit hast du deine Übersichtlichkeit schnell wieder. Basti PS: Ach ja: sprintf() sollte ich dabei vielleicht noch erwähnen