Frage über PHP/SQL-Injektion

Hej,

Ich bin vorhin auf eine Seite bezüglich SQL-Injektionen gestoßen und möchte von daher einen solchen Fehler möglichst ausschließen. Ich habe selbst ein klein wenig herumprobiert. Würden folgende simple Zeilen ausreichen, um weitere eingefügte Befehle ungültig zu machen? Ich weiß, dies ist kein Mysql-Beispiel, aber im Prinzip müsste es doch das Gleiche sein, oder? Da ich ja eigentlich auch nur die Variable selbst benutze.

PHP-Code:

### Verify GET variable and include php file.
    $woGetInclude = $_GET["include"];
    $woGetInclude = preg_replace("/[^a-zA-Z0-9]/", "", $woGetInclude);
    $woIncludedFile = "included/".$woGetInclude.".php";
    
    if(file_exists($woIncludedFile))
    {
        include_once($woIncludedFile);
    }
    else
    {
        woError(404);
    } 


Ich benutze nämlich ausschließlich Klein- und Großbuchstaben und Zahlen. In meinem Beispiel werden alle Zeichen entfernt, sogar Leerzeichen.

Ich würde mich über eine Antwort freuen .

file_exists() könnte auch helfen. Dazu noch eine Whitelist von erlaubten Dateien

Zitat:

Original geschrieben von tobey

PHP-Code:

...
    if(file_exists($woIncludedFile))
    {
        include_once($woIncludedFile);
    }
    else 


gutn morgen jah....

Zitat:

Original geschrieben von arkos
gutn morgen jah....

Was denn?

Erst gerade aufgestanden
Wenn der TS aber eh file_exists() drin hat, dann ist doch der RegExp imho überflüssig

tobbey, das war auf den beitrag von jahlives gemünzt. du verwendest file_exists() und jah sagt, das, dass file_exists() helfen könnte...

also keine gedanken, dein ansatz is schon gut.

und wenn alle files, die existieren an jeder stelle und ohne bedenken includiert werden können, brauchst du im grunde auch keine whitelist. wäre aber natürlich ne zusätzlichere absicherung...

Zitat:

Original geschrieben von jahlives
Wenn der TS aber eh file_exists() drin hat, dann ist doch der RegExp imho überflüssig

richtig... wüsste auch nicht wofür das noch gut sein soll... aber darüber wissen wir wohl zu wenig, über die tatsache, wo der übergebene get-parameter generiert wird...

auf jeden fall schadet es an der stelle nicht... und schön zu sehen, dass dann eher zuviel als zuwenig gemacht wurde

Zitat:

auf jeden fall schadet es an der stelle nicht... und schön zu sehen, dass dann eher zuviel als zuwenig gemacht wurde

Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

Gruss

tobi

wollt nicht grad neuen thread öffnen und mit sql injections passt das schon. angenommen ich würde an einem ende von einem script mysql nicht mehr schliessen, jemand includiert diese datei mit einem frame und weiß wie die datenbank aussieht, könnte er die verbindung vom 1. frame in einem 2. nutzen um darin querys beim server zu machen?

Zitat:

Original geschrieben von jahlives
Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

Gruss

tobi

würd ich auch.... meine betonung lag auf, wo und wie der getparameter generiert wird.

beispiel: singlebörse... anleitung: du kannst dein profil aufrufen mit: www .meinesinglebörse. de?inculde=mein_profilname

da kann schnell mal ein schreibfehler kommen... dann macht die prüfung sinn, um nicht ganz so viele 404s zu haben...

aber ok... is eher unwahrscheinlich (das anwendungsbeispiel) und liegt wohl eher an

a) länger wach

b) zehn kannen kaffee mehr

Ich möchte diese Methode auch mit Mysql nutzen. Ich bin mir allerdings unsicher, ob das ausreicht. Im Grunde kann man doch kein Befehle anhängen wenn Leerzeichen o. a. entfernt werden.

Ein (unsinniges) Beispiel (abgeleitet von php.net):
index.php?account=tobey&password='' OR ''=''

Das würde ja nicht funktionieren wenn ich preg_replace verwende, da Anführungs-, Leer- und Gleichheitszeichen entfernt werden. Der Effekt wäre:

SELECT * FROM users WHERE account='tobey' AND password='OR'

Oder irre ich mich da?

Zitat:

Original geschrieben von jahlives
Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

Gruss

tobi

Wie meinst du? Brauche ich die IF-Abfrage gar nicht? Ich will nur prüfen ob die Datei existiert, wenn nicht wird die "Seite nicht gefunden "(404). Kann man denn auch folgendes machen?

PHP-Code:

include_once($woIncludedFile) OR woError(); 


Doch du brauchst schon noch eine if-Abfrage, aber nicht jene von file_exists() sondern ev so

PHP-Code:

$woGetInclude = preg_replace("/[^a-zA-Z0-9]/", "", $_GET['include']);
if($_GET['include'] != $woGetInclude){
  die('Ungültige Zeichen. Und Weg');
}else{
  //Prüfung auf Existenz des Files

} 


Gruss

tobi

verwechsel nicht die sicherheit von includes und die sicherheit von mysql.

bei mysql gibt es genug ansätze um injections zu vermeiden - da brauchst du nur hier nach suchen, und wirst gut bedient...

ergo: sind zwei völlig verschiedene themen im bereich sicherheit...

Zitat:

Original geschrieben von Lennie
wollt nicht grad neuen thread öffnen und mit sql injections passt das schon. angenommen ich würde an einem ende von einem script mysql nicht mehr schliessen, jemand includiert diese datei mit einem frame und weiß wie die datenbank aussieht, könnte er die verbindung vom 1. frame in einem 2. nutzen um darin querys beim server zu machen?

und dit mitn frames is imho quatsch mysql - injections nutzen DEIN query in DEINEM script aus. du musst "nur" beim zusammensetzen eines querys aufpassen, dass eben diese zusammensetzung nicht von außerhalb deines scriptes manipuliert werden kann... (zb. erweiterung der get-parameter in der url....)