SQL Injections

hans.karl2 · 24.07.2007, 16:09

Hallo

Ich programmiere gerade an einer Homepage, die u.A. auch Daten aus einer Datenbank liest bzw. auch gelegentlich Daten in die DB schreibt. Ich verwende dazu die Funktion mysql_query. Auf der DB habe ich einen Benutzer angelegt, der nur Rechte für die Datenbank hat, auf der meine Daten liegen (auf meinem Webaccount kann ich leider keine Benutzer selbst anlegen, d.h. ich habe einen Benutzer auf der DB, der alle Rechte auf die ihm zur Verfügung stehenden Datenbank hat; Ich würde sonst einen Benutzer anlegen, der nur Leserechte hat und dann einen Benutzer, der nur Schreibrechte hat und den geringen Teil im Quellcode, der auf die DB schreibt, besonders absichern).

Ich habe nun von den Sicherheitsproblemen gehört, die auftreten, wenn man von Script zu Script Benutzereingaben überträgt (ich muss gew. Daten übertragen). Zwar kann ein potentieller Hacker keine Benutzerberechtigungen in der DB verändern und sich somit Zugang zum DB-Server verschaffen (ich arbeite wie oben erwähnt mit einem normalen Benutzer), er kann aber meine Daten in der DB doch einigermaßen verändern, was mich ebenfalls stören würde. Ich habe nun probiert, an einen per GET übertragenen Wert mittels "; INSERT INTO usw" ein zweites Statement anzuhängen, was nicht funktionierte (es lieferte auch keine Fehlermeldung). Kann man mit der Funktion "mysql_query" immer nur ein SQL Statement ausführen? Ich habe mir auch gedacht, dass ich jeden übergebenen Parameter (auch Integer und Date Werte) in Hochkomma setze (im WHERE Zweig), denn dann werden die veränderten Befehle wenigstens nur als Inhalte interpretiert und ein Hackversuch endet in einem SQL Fehler. Sind diese Maßnahmen ausreichend oder fällt jemandem noch ein Sicherheitsloch auf?

Wie verhindert ihr in euren Scripten SQL Injections?

KingCrunch · 24.07.2007, 16:16

Das was du suchst?

nikosch · 24.07.2007, 16:16

Die wohl wichtigste Maßnahme ist die Verwendung von mysql_escape_string oder die explizite Typ-Umwandlung von int Werten.

hans.karl2 · 24.07.2007, 16:45

Ich habe schon an eine Überprüfung jedes Übergabeparameters gedacht, nur ist das ziemlich mühsam zumale ich sehr viele Übergabeparameter habe. In erster Linie ist mir wichtig, dass kein Hackversuch gelingt (dass meine Daten immer im Konsistenten Zustand bleiben und dass keine Daten gelöscht/hinzugefügt werden). Ob nun beim Hackversuch die Parameter richtiggestellt werden, ist mir eigentl. egal.

Ich danke für die Funktion. Laut PHP Hilfe sind damit keine Injections mehr möglich. Die Umwandlung von Int- Werten werde ich auch machen.

nikosch · 24.07.2007, 17:50

Bleibt zu sagen: Für Sicherheitsaspekte sollte die Frage nach dem Aufwand immer weit hinten stehen.

Mit Verlaub verschoben ins Beginner Forum.

PsychoEagle · 25.07.2007, 10:31

ich lass bevor ich DB Eintr#ge mache immer über meine Werte eine Funktion laufen:

PHP-Code:

  <?php

  // SQL PROTECTION

  //

  function sql_protect($value,$str=0) {

      // Überflüssige Maskierungen aus der übergebenen Variablen entfernen

      if(get_magic_quotes_gpc()) {

          $value = stripslashes($value);

      }

      // Übergebene Variablenwert in Anführungszeichen setzen, sofern keine

      // Zahl oder ein numerischer String vorliegt

      if(!is_numeric($value) AND $str != 1) {

          $value = "'". mysql_real_escape_string($value) ."'";

      }

      return $value;

  }

?>

und dann:

PHP-Code:

  <?php

        $sql = "UPDATE points_types

                SET    name = ". sql_protect($name) ."

                WHERE  `ps-tid` = ". sql_protect($id);

?>

vielleicht hilft das weiter

Grüße
Da Psy

Zergling-new · 25.07.2007, 10:59

Wofür ist der $str-Flag?

PsychoEagle · 25.07.2007, 11:43

Zitat:

Zitat von Zergling

Wofür ist der $str-Flag?

gute Frage, nächste Frage

ne, ich glaube den kann man entfernen. Hatte dort glaub mal was versucht, aber an sich ist der unnötig.

Bei 1 soll er einfach keine einfachen Anführungszeichen und die mysql_real_escape_string function auf die $value ausführen. Is aber schwachsinnig, da würde die Funktion ihre Funktion verlieren und somit hat man wieder ein Sicherheitsrisiko mehr

Also raus damit!

EDIT:

Wobei, wenn man eine Zahl hat, welche in die DB als String soll, ist der flag vielleicht doch nicht so verkehrt, nur ein wenig anders:

PHP-Code:

  <?php

  // SQL PROTECTION

  //

  function sql_protect($value,$str=0) {

      // Überflüssige Maskierungen aus der übergebenen Variablen entfernen

      if(get_magic_quotes_gpc()) {

          $value = stripslashes($value);

      }

      // Übergebene Variablenwert in Anführungszeichen setzen, sofern keine

      // Zahl oder ein numerischer String vorliegt

      if($str==1 OR !is_numeric($value)) {

          $value = "'". mysql_real_escape_string($value) ."'";

      }

      return $value;

  }

?>

und dann:

PHP-Code:

  <?php

        $sql = "UPDATE points_types

                SET    name = ". sql_protect($name) ."

                WHERE  `ps-tid` = ". sql_protect($id);

?>

Grüße
Da Psy

M3g4Star · 26.07.2007, 15:49

Also ich kann immer nur wieder auf den Thread verweisen

Zergling-new · 26.07.2007, 15:57

Zitat:

Zitat von M3g4Star

Also ich kann immer nur wieder auf den Thread verweisen

Warum eigentlich?
Grade der SQL-Injection-Abschnitt ist doch schon veraltet!
Es ist nicht mehr möglich 2 Queries über einen mysql_query() Aufruf abzusetzen und mysql_real_escape_string() vermißt man gänzlich auf der Seite ^^

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

24.07.2007, 16:09
hans.karl2 Benutzer Registriert seit: 26.01.2005 Beiträge: 30	SQL Injections Hallo Ich programmiere gerade an einer Homepage, die u.A. auch Daten aus einer Datenbank liest bzw. auch gelegentlich Daten in die DB schreibt. Ich verwende dazu die Funktion mysql_query. Auf der DB habe ich einen Benutzer angelegt, der nur Rechte für die Datenbank hat, auf der meine Daten liegen (auf meinem Webaccount kann ich leider keine Benutzer selbst anlegen, d.h. ich habe einen Benutzer auf der DB, der alle Rechte auf die ihm zur Verfügung stehenden Datenbank hat; Ich würde sonst einen Benutzer anlegen, der nur Leserechte hat und dann einen Benutzer, der nur Schreibrechte hat und den geringen Teil im Quellcode, der auf die DB schreibt, besonders absichern). Ich habe nun von den Sicherheitsproblemen gehört, die auftreten, wenn man von Script zu Script Benutzereingaben überträgt (ich muss gew. Daten übertragen). Zwar kann ein potentieller Hacker keine Benutzerberechtigungen in der DB verändern und sich somit Zugang zum DB-Server verschaffen (ich arbeite wie oben erwähnt mit einem normalen Benutzer), er kann aber meine Daten in der DB doch einigermaßen verändern, was mich ebenfalls stören würde. Ich habe nun probiert, an einen per GET übertragenen Wert mittels "; INSERT INTO usw" ein zweites Statement anzuhängen, was nicht funktionierte (es lieferte auch keine Fehlermeldung). Kann man mit der Funktion "mysql_query" immer nur ein SQL Statement ausführen? Ich habe mir auch gedacht, dass ich jeden übergebenen Parameter (auch Integer und Date Werte) in Hochkomma setze (im WHERE Zweig), denn dann werden die veränderten Befehle wenigstens nur als Inhalte interpretiert und ein Hackversuch endet in einem SQL Fehler. Sind diese Maßnahmen ausreichend oder fällt jemandem noch ein Sicherheitsloch auf? Wie verhindert ihr in euren Scripten SQL Injections?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.07.2007, 16:16
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Das was du suchst? __________________ Nicht jeder Fehler ist ein Bug.

24.07.2007, 16:16
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Die wohl wichtigste Maßnahme ist die Verwendung von mysql_escape_string oder die explizite Typ-Umwandlung von int Werten.

24.07.2007, 16:45
hans.karl2 Benutzer Registriert seit: 26.01.2005 Beiträge: 30	Ich habe schon an eine Überprüfung jedes Übergabeparameters gedacht, nur ist das ziemlich mühsam zumale ich sehr viele Übergabeparameter habe. In erster Linie ist mir wichtig, dass kein Hackversuch gelingt (dass meine Daten immer im Konsistenten Zustand bleiben und dass keine Daten gelöscht/hinzugefügt werden). Ob nun beim Hackversuch die Parameter richtiggestellt werden, ist mir eigentl. egal. Ich danke für die Funktion. Laut PHP Hilfe sind damit keine Injections mehr möglich. Die Umwandlung von Int- Werten werde ich auch machen.

24.07.2007, 17:50
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Bleibt zu sagen: Für Sicherheitsaspekte sollte die Frage nach dem Aufwand immer weit hinten stehen. Mit Verlaub verschoben ins Beginner Forum.

25.07.2007, 10:31
PsychoEagle there's only one psycho Registriert seit: 21.08.2007 Beiträge: 1.283 PHP-Kenntnisse: Anfänger	ich lass bevor ich DB Eintr#ge mache immer über meine Werte eine Funktion laufen: PHP-Code: <?php // SQL PROTECTION // function sql_protect($value,$str=0) { // Überflüssige Maskierungen aus der übergebenen Variablen entfernen if(get_magic_quotes_gpc()) { $value = stripslashes($value); } // Übergebene Variablenwert in Anführungszeichen setzen, sofern keine // Zahl oder ein numerischer String vorliegt if(!is_numeric($value) AND $str != 1) { $value = "'". mysql_real_escape_string($value) ."'"; } return $value; } ?> und dann: PHP-Code: <?php $sql = "UPDATE points_types SET name = ". sql_protect($name) ." WHERE `ps-tid` = ". sql_protect($id); ?> vielleicht hilft das weiter Grüße Da Psy __________________ "Weaseling out of things is important to learn. It's what separates us from the animals ... except the weasel." (Homer J. Simpson)

25.07.2007, 10:59
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Wofür ist der $str-Flag?

26.07.2007, 15:49
M3g4Star Erfahrener Benutzer Registriert seit: 23.08.2007 Beiträge: 1.510	Also ich kann immer nur wieder auf den Thread verweisen