Frage über PHP/SQL-Injektion

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Frage über PHP/SQL-Injektion

    Hej,

    Ich bin vorhin auf eine Seite bezüglich SQL-Injektionen gestoßen und möchte von daher einen solchen Fehler möglichst ausschließen. Ich habe selbst ein klein wenig herumprobiert. Würden folgende simple Zeilen ausreichen, um weitere eingefügte Befehle ungültig zu machen? Ich weiß, dies ist kein Mysql-Beispiel, aber im Prinzip müsste es doch das Gleiche sein, oder? Da ich ja eigentlich auch nur die Variable selbst benutze.

    PHP-Code:
    ### Verify GET variable and include php file.
        
    $woGetInclude $_GET["include"];
        
    $woGetInclude preg_replace("/[^a-zA-Z0-9]/"""$woGetInclude);
        
    $woIncludedFile "included/".$woGetInclude.".php";
        
        if(
    file_exists($woIncludedFile))
        {
            include_once(
    $woIncludedFile);
        }
        else
        {
            
    woError(404);
        } 
    Ich benutze nämlich ausschließlich Klein- und Großbuchstaben und Zahlen. In meinem Beispiel werden alle Zeichen entfernt, sogar Leerzeichen.

    Ich würde mich über eine Antwort freuen .

  • #2
    file_exists() könnte auch helfen. Dazu noch eine Whitelist von erlaubten Dateien
    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

    Kommentar


    • #3
      Re: Frage über PHP/SQL-Injektion

      Original geschrieben von tobey
      PHP-Code:
      ...
          if(
      file_exists($woIncludedFile))
          {
              include_once(
      $woIncludedFile);
          }
          else 

      gutn morgen jah....
      **********
      arkos
      **********

      Kommentar


      • #4
        Re: Re: Frage über PHP/SQL-Injektion

        Original geschrieben von arkos
        gutn morgen jah....
        Was denn?

        Kommentar


        • #5
          Erst gerade aufgestanden
          Wenn der TS aber eh file_exists() drin hat, dann ist doch der RegExp imho überflüssig
          Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

          [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
          Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

          Kommentar


          • #6
            tobbey, das war auf den beitrag von jahlives gemünzt. du verwendest file_exists() und jah sagt, das, dass file_exists() helfen könnte...

            also keine gedanken, dein ansatz is schon gut.

            und wenn alle files, die existieren an jeder stelle und ohne bedenken includiert werden können, brauchst du im grunde auch keine whitelist. wäre aber natürlich ne zusätzlichere absicherung...
            **********
            arkos
            **********

            Kommentar


            • #7
              Original geschrieben von jahlives
              Wenn der TS aber eh file_exists() drin hat, dann ist doch der RegExp imho überflüssig
              richtig... wüsste auch nicht wofür das noch gut sein soll... aber darüber wissen wir wohl zu wenig, über die tatsache, wo der übergebene get-parameter generiert wird...

              auf jeden fall schadet es an der stelle nicht... und schön zu sehen, dass dann eher zuviel als zuwenig gemacht wurde
              **********
              arkos
              **********

              Kommentar


              • #8
                auf jeden fall schadet es an der stelle nicht... und schön zu sehen, dass dann eher zuviel als zuwenig gemacht wurde
                Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

                Gruss

                tobi
                Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                Kommentar


                • #9
                  wollt nicht grad neuen thread öffnen und mit sql injections passt das schon. angenommen ich würde an einem ende von einem script mysql nicht mehr schliessen, jemand includiert diese datei mit einem frame und weiß wie die datenbank aussieht, könnte er die verbindung vom 1. frame in einem 2. nutzen um darin querys beim server zu machen?
                  Webdesign und Webentwicklung - Plunix.de

                  Kommentar


                  • #10
                    Original geschrieben von jahlives
                    Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

                    Gruss

                    tobi

                    würd ich auch.... meine betonung lag auf, wo und wie der getparameter generiert wird.

                    beispiel: singlebörse... anleitung: du kannst dein profil aufrufen mit: www .meinesinglebörse. de?inculde=mein_profilname

                    da kann schnell mal ein schreibfehler kommen... dann macht die prüfung sinn, um nicht ganz so viele 404s zu haben...

                    aber ok... is eher unwahrscheinlich (das anwendungsbeispiel) und liegt wohl eher an

                    a) länger wach

                    b) zehn kannen kaffee mehr
                    **********
                    arkos
                    **********

                    Kommentar


                    • #11
                      Ich möchte diese Methode auch mit Mysql nutzen. Ich bin mir allerdings unsicher, ob das ausreicht. Im Grunde kann man doch kein Befehle anhängen wenn Leerzeichen o. a. entfernt werden.

                      Ein (unsinniges) Beispiel (abgeleitet von php.net):
                      index.php?account=tobey&password='' OR ''=''

                      Das würde ja nicht funktionieren wenn ich preg_replace verwende, da Anführungs-, Leer- und Gleichheitszeichen entfernt werden. Der Effekt wäre:

                      SELECT * FROM users WHERE account='tobey' AND password='OR'

                      Oder irre ich mich da?

                      Kommentar


                      • #12
                        Original geschrieben von jahlives
                        Ich würde das trotzdem nicht so machen Wenn der RegExp etwas ersetzen müsste dann ist der Link Parameter ziemlich sicher gefaked. In diesem Falle würde ich sofort einen Fehler ausgeben und nicht mal ansatzweise prüfen ob die Datei überhaupt vorhanden ist.

                        Gruss

                        tobi
                        Wie meinst du? Brauche ich die IF-Abfrage gar nicht? Ich will nur prüfen ob die Datei existiert, wenn nicht wird die "Seite nicht gefunden "(404). Kann man denn auch folgendes machen?

                        PHP-Code:
                        include_once($woIncludedFile) OR woError(); 

                        Kommentar


                        • #13
                          Doch du brauchst schon noch eine if-Abfrage, aber nicht jene von file_exists() sondern ev so
                          PHP-Code:
                          $woGetInclude preg_replace("/[^a-zA-Z0-9]/"""$_GET['include']);
                          if(
                          $_GET['include'] != $woGetInclude){
                            die(
                          'Ungültige Zeichen. Und Weg');
                          }else{
                            
                          //Prüfung auf Existenz des Files


                          Gruss

                          tobi
                          Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                          [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                          Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                          Kommentar


                          • #14
                            verwechsel nicht die sicherheit von includes und die sicherheit von mysql.

                            bei mysql gibt es genug ansätze um injections zu vermeiden - da brauchst du nur hier nach suchen, und wirst gut bedient...

                            ergo: sind zwei völlig verschiedene themen im bereich sicherheit...
                            **********
                            arkos
                            **********

                            Kommentar


                            • #15
                              Original geschrieben von Lennie
                              wollt nicht grad neuen thread öffnen und mit sql injections passt das schon. angenommen ich würde an einem ende von einem script mysql nicht mehr schliessen, jemand includiert diese datei mit einem frame und weiß wie die datenbank aussieht, könnte er die verbindung vom 1. frame in einem 2. nutzen um darin querys beim server zu machen?
                              und dit mitn frames is imho quatsch mysql - injections nutzen DEIN query in DEINEM script aus. du musst "nur" beim zusammensetzen eines querys aufpassen, dass eben diese zusammensetzung nicht von außerhalb deines scriptes manipuliert werden kann... (zb. erweiterung der get-parameter in der url....)
                              **********
                              arkos
                              **********

                              Kommentar

                              Lädt...
                              X