Heise Security Giftspritze · SQL-Injection - Angriff und Abwehr von Daniel Bachfeld
Wikipedia: SQL-Injection

aber wie ich es verhindern kann weiss ich nicht...

$varname = mysql_real_escape_string( $_POST['varname'] );
mysql_query( "INSERT INTO tblname SET varname='$varname';" );

function quote_smart($value)
{
  // stripslashes, falls nötig
  if (get_magic_quotes_gpc()) {
      $value = stripslashes($value);
  }

  // quotieren, falls kein integer
  if (!is_numeric($value)) {
      $value = "" .mysql_real_escape_string($value). "";
  }

  return $value;
}

Ja, dein denkfehler... 
\" muss ja nicht escaped werden: ist es ja schon. Und 2x escapen würde nichts bringen, oder?

Wenn $varname als Inhalt "'\" hat was wird dann in die DB gschrieben?

Vielleicht würde dir auch der CrackerTracker von CBACK weiterhelfen?
Der verhindert unteranderem SQL-Injections.

 $cracktrack = $_SERVER['QUERY_STRING'];
 $wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
          'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
'$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
'/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '.pl', '/usr/X11R6/bin/xterm', 'lsof%20',
'/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
'file\://', 'window.open', '<script>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
'<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');

 $checkworm = str_replace($wormprotector, '*', $cracktrack);

 if ($cracktrack != $checkworm)
   {
     $cremotead = $_SERVER['REMOTE_ADDR'];
     $cuseragent = $_SERVER['HTTP_USER_AGENT'];

     die( "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert:</b><br />$cremotead - $cuseragent" );
   }

@Malte Landwehr: Soll das ein Scherz sein?

Was soll an diesem Code eine Sql-Injektion verhindern? Das ist ein bloßes Filtern nach einigen typischen Begriffen. Abgesehen davon kann man Sql-Injektionen auch per POST-Daten einschleusen.

Aber in der Beschreibung von dem Programm steht halt "bringt das Schutzsystem vor SQL Injections".

Und die phpBB-Security Programme des Autors sind recht weit vervreitet.

Richtig interessant wird das Problem der Injektionen erst, wenn Nutzer Unicode-Zeichen verwenden und dann etwas durchschlüpft - etwa ein 'Insert' mit einem türkischen İ (&#x0130; = 'Latin Capital Letter I with dot above').

zum guten Glück geht es nicht um solch sensitive Daten, welche einen solchen Aufwand rechtfertigen würden...

Fängt mein oben geposteter Schnipsel die wichtigsten Injektionen ab?

Das Argument ist strukturell falsch: Eine gehackte Anwendung läßt sich vielfach mißbrauchen, bsp. als Mailspamschleuder. Ein Server im Web, auf dem man anonym tun und lassen kann, was man will und für den offiziell jemand anderes verantwortlich ist ... ist doch wunderbar - da muß man sich nicht für irgendwelche Daten auf diesem Server interessieren. Und wenn jemand aus dem Ausland den Server knackt, benötigt er keinerlei Deutschkenntnis, um die Daten vielleicht lesen zu können.

$varname = mysql_real_escape_string($varname);
mysql_query( "INSERT INTO tblname SET varname='$varname';" );