hi,
ich bin vor einiger Zeit bei einem Projekt eingestiegen(nur eine kleine Community). Ich würde jetzt gerne anfangen und den Code so zu ändern, dass SQL-Injections ausgeschloßen sind. Allerdings hab ich keine Lust jeden Query mit mysql_real_escape_string() und stripslashes zu bearbeiten, zu mal auch leider keine SQL-Klasse verwendet wird. Ich hab mir nun überlegt, am Anfang des Skriptes alle Variablen aus $_REQUEST, mit stristr nach insert,delete,update,drop und einem ";" zu untersuchen. Das müsste mir theoretisch doch schon reichen bei queries a la "select xy from xy where ..."
Injections auszuschließen. Ist das richtig, oder mach ich da nen Denkfehler?

lg,
André

Mister Ad

Zergling-new

Hallo,
zusätzlich zu $_REQUEST würde ich noch $_GET, $_POST und $_COOKIE überprüfen. Der Test auf Schlagworte ist nicht sinnvoll, schließlich kann eine Person ja einen Namen haben, in dem zB "drop" vorkommt. Vielmehr solltest du versuchen zu verhindern, dass Daten als Code interpretiert werden können.
Das kannst du allerdings nur gewährleisten, wenn du nicht nur das simple addslashes(), sondern für SQL-Daten mysql_real_escape_string() verwendest.

deswegen hab ich mir überlegt, noch zusätzlich nach dem Semikolon zu suchen, so dass der Username schon "drop;" sein müsste.
Aber mysql_real_escape_string() ist wohl wirklich die beste Methode.

Zergling-new

DROP; ist ja auch kein gültiger SQL-Befehl. Dann müsstest du schon reguläre Ausdrücke verwenden, aber es gibt soviel schädliche Befehle (ALTER TABLE), da vergißt du bestimmt was.

Ich hab mir das dann eher so gedacht:
if(stristr($var,"drop") && stristr($var,";"))
boese_buben_hauen();

weil ein SQL-Injection,der einen SELECT-Query missbraucht müsste ja im Endeffekt so aussehen:

SELECT * FROM `tabelle` WHERE `id`=''; DROP DATABASE `datenbank`;--';

nikosch

DELETE FROM abc WHERE ID = 12
DELETE FROM abc WHERE ID = 0 OR 1=1

DELETE FROM abc WHERE ID = '12'
DELETE FROM abc WHERE ID = '' OR 1=1 --'
DELETE FROM abc WHERE ID = '' OR '1'='1'

SELECT * FROM auth WHERE User = 'Horst' AND Pwd = 'Zwerg'
SELECT * FROM auth WHERE User = 'Horst' /* AND Pwd = '0815'

ganz ohne ;

Hasso

Bisher dachte ich immer, in $_REQUEST wären $_GET, $_POST und $_COOKIE enthalten?
Im PHP-Handbuch steht zu $_REQUEST:
Warum also diese noch zusätzlich prüfen?

__________________
Hasso

OK überzeugt .
Ich hab schon angefangen überall erstmal mysql_real_escape_string() reinzusetzen.
Ich hab gedacht, dass die Shlashes auch in der DB dann stehen würden, ab das liebe DB-System macht die netterweise wieder raus, bevor sie eingetragen werden.

Zergling-new

Natürlich musst du nur die Variablen validieren, die du auch verwendest. Wenn du nur auf die Daten in $_REQUEST zugreifst, musst du eben auch nur diese validieren. Ich meinte nur es ist ein Irrglaube $_REQUEST zu validieren und dann zu denken, auch die $_GET, $_POST und $_COOKIE-Daten wären sicher. Es sind ja jeweils unabhängige Kopien der Daten. Vielleicht haben wir uns hier mißverstanden (wer wen weiß ich nicht )

Ich verwende $_REQUEST nicht so gerne, weil dann nicht klar ist, woher ich die Daten erwarte. Außerdem können sich die Schlüssel überlappen. Nehmen wir an ich speichere in $_COOKIE['user'] den Namen des Benutzers oder seine ID und biete auf der gleichen Seite eine User-Suche an, dessen Eingabefeld auch user heißt. Kommt bestimmt nicht oft vor, aber so unwahrscheinlich ist die Situation ja nicht.

nikosch

Geschweige denn im Kontext eines Angriffszenarios. Beim Verwenden von $_REQUEST kann ich u.U. (diese Umstände sind z.B. die richtige gpc Order) übetr die URL alle Daten überschreiben, die eigentlich per POST oder gar aus nem COOKIE erwartet werden. Sicherlich ein falscher Schritt betrachtet man das Thema des Threads.