php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 01-04-2004, 10:01
php_rookie
 Junior Member
Links : Onlinestatus : php_rookie ist offline
Registriert seit: Dec 2003
Beiträge: 224
php_rookie ist zur Zeit noch ein unbeschriebenes Blatt
Standard SQL korrekt escapen

hi!

habe mir folgenden ansatz überlegt um SQL injections abzufangen.

im programm ist es ggf. nötig mehrere SQL-statements hintereinander abzusetzen (INSERT, UPDATE, ...). jedes statement besteht aus einem query und den zugehörigen parametern:
PHP-Code:
$query1 "1";
$query2 "2";
$query3 "3";

$params1 = Array("a" => "a'x'a""b" => "s\x/s""c" => 'd"q"');
$params2 = Array("a""s""d""f");
$params3 = Array("a""s""d""f");

$cmd[] = Array("params" => $params1"query" => $query1);
$cmd[] = Array("params" => $params2"query" => $query2);
$cmd[] = Array("params" => $params3"query" => $query3); 
in einer klasse mit dem namen db gibt es eine funktion foo($command), die jeden übergebenen befehl sukzessive abarbeitet.

zuerst sollen sämtliche parameter mit addslashes behandelt werden, wenn magic_quotes nicht aktiv ist und anschließend sollen die korrekt escapten parameter ins query eingebunden werden und das query abgesetzt werden:
PHP-Code:
class db
{
    function 
foo($command)
    {
        foreach (
$command as $cmd) {
            foreach (
$cmd["params"] as $param) {
                echo 
addslashes($param) . " - ";
            }

            echo 
"<br>";
            echo 
$cmd["query"] . "<br><br>";
        }
    }

mein problem besteht nun darin, wie ich es schaffe, die einzelnen parameter des $cmd["params"]-arrays in den string $cmd["query"] einzubinden, nachdem addslashes erfolgt ist.

vorschläge? gibts evt. bereits fertige lösungen mit diesem ansatz?

bin für jeden hinweis dankbar.


EDIT:
unter "parameter" versteh ich übrigens, variablen, wie z.b. $id in folgendem query:

PHP-Code:
$sql "SELECT `name` FROM `test` WHERE `id` = " $id


Geändert von php_rookie (01-04-2004 um 10:05 Uhr)
Mit Zitat antworten
freelancermap.de - IT Projektvermittlung für Selbständige und Freiberufler
  #2 (permalink)  
Alt 01-04-2004, 10:23
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

http://www.php-resource.de/forum/sea...der=descending
Mit Zitat antworten
  #3 (permalink)  
Alt 01-04-2004, 10:33
php_rookie
 Junior Member
Links : Onlinestatus : php_rookie ist offline
Registriert seit: Dec 2003
Beiträge: 224
php_rookie ist zur Zeit noch ein unbeschriebenes Blatt
Standard

eine möglichkeit für obige frage wäre die folgende:
PHP-Code:
$foo "das [0] ist [1] ein [2] test";
$bar = Array("hier""offensichtlich""erfolgreicher");

echo 
$foo "<br>";

for (
$i 0$i sizeof($bar); $i++) {
    
$foo str_replace("[" $i "]"$bar[$i], $foo);
}

echo 
$foo "<br>"
verbesserungsvorschläge?

@ asp2php: danke, seh ich mir dann auch noch an.
Mit Zitat antworten
  #4 (permalink)  
Alt 01-04-2004, 11:14
php_rookie
 Junior Member
Links : Onlinestatus : php_rookie ist offline
Registriert seit: Dec 2003
Beiträge: 224
php_rookie ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hier nochmals ein zusammengebautes, aber aufs wesentlichste reduziertes beispiel:
PHP-Code:
<?php
ini_set
("magic_quotes_gpc"0);

class 
db
{
    function 
execute($queries)
    {
        unset(
$values);

        foreach (
$queries as $query) {
            if (
get_magic_quotes_gpc() == 0) {
                echo 
"werte werden behandelt<br>";
                foreach (
$query["values"] as $value) {
                    
$values[] = mysql_escape_string($value);
                }
            } else {
                echo 
"keine manipulation<br>";
                
$values $query["values"];
            }

            for (
$i 0$i sizeof($values); $i++) {
                
$query["sql"] = str_replace("[" $i "]"$values[$i], $query["sql"]);
            }

            echo 
$query["sql"] . "<br><br>";
        }
    }
}

$sql "1: [0], 2: [1], 3: [2]";
$values = Array("a'x'a""b\\x/b"'c"x"c');
$queries[] = Array("values" => $values"sql" => $sql);

$db = new db;
$db->execute($queries);
?>
spricht etwas dagegen, es so zu handhaben, dass die parameter unmittelbar vor dem mysql_query() escaped werden? wie lässt sich magic_quotes vorübergehen deaktivieren um die funktion zu testen?

Geändert von php_rookie (01-04-2004 um 11:39 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 01-04-2004, 11:51
php_rookie
 Junior Member
Links : Onlinestatus : php_rookie ist offline
Registriert seit: Dec 2003
Beiträge: 224
php_rookie ist zur Zeit noch ein unbeschriebenes Blatt
Standard

bitte um verzeihung, dass ich mir wieder selbst antworte, aber ist es im letzten beispiel überhaupt sinnvoll auf get_magic_quotes_gpc() zu prüfen? schlussendlich soll statt dem
PHP-Code:
echo($query["sql"]) 
ein
PHP-Code:
mysql_query($query["sql"]) 
erfolgen.

da bei aktiviertem get_magic_quotes_gpc() ja keine " bzw. ' escaped werden sind sql-injections wieder möglich, oder? es wird schließlich ein string übergeben.

bitte helft mir den knopf in meinem hirn aufzulösen. ich steh grad ein wenig an.
Mit Zitat antworten
  #6 (permalink)  
Alt 01-04-2004, 12:26
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von php_rookie
da bei aktiviertem get_magic_quotes_gpc() ja keine " bzw. ' escaped werden sind sql-injections wieder möglich, oder?
mach dir mal klar, was magic_quotes_gpc bewirkt.

Zitat:
bitte helft mir den knopf in meinem hirn aufzulösen. ich steh grad ein wenig an.
hilf dir selbst - wir hatten in letzter zeit mehrere thread zu dem thema, in denen wir das in aller ausführlichkeit durchdiskutiert haben.

also lies dort bitte nach, und ziehe die richtigen schlüsse.

das thema erneut aufzuwärmen, besteht zum einen kein bedarf, und zum anderen merkst du ja, dass kaum einer lust darauf zu haben scheint.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #7 (permalink)  
Alt 01-04-2004, 13:03
marc75
 PHP Senior
Links : Onlinestatus : marc75 ist offline
Registriert seit: Jul 2003
Ort: daheim
Beiträge: 1.366
marc75 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

SQL-Injections abfangen


steht sogar noch auf der ersten Seite paar Zeilen tiefer.
__________________
mfg
marc75

<Platz für anderes>
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

Formmailer v1.7.0 Bootstrap 4

Formmailer v1.7.0 Bootstrap wurde extra für Bootstrap entwickelt. Mit Bootstrap kann man schnell und einfach kleine oder große Projekte entwickeln, die auf Geräten in allen erdenklichen Formen funktionieren.

16.04.2020 arne-home | Kategorie: PHP/ Formular
Upload v1.1.0 Bootstrap

Mit dem PHP - Uploadscript kann man schnell und einfach Bilder und Dateien auf den Webserver hochladen.

16.04.2020 arne-home | Kategorie: PHP/ File
Microweber CMS

Open source, drag and drop website builder

13.01.2020 Berni | Kategorie: HTML5/ EDITOR
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 05:08 Uhr.