Anzeige - [Hier werben / Mediadaten]
(?) Tags raten (?) injektion, mysql, security, sql, sql injektion (edit)
 
Reply to this topicStart new topicStart Poll
> SQL Injektion abwehren
Thema abonnieren | Thema versenden | Thema drucken
G.P.
Geschrieben am: Do 11.10.2007, 14:46
Report PostQuote Post

AyomRank 6
************

Gruppe: Member (aktiv)
Beiträge: 801
Mitglied seit: 21.10.2004
Wie man leicht den Titel entnehmen kann geht es um die Abwehr von SQL Injektion.

Ich weiss leider nicht wie man am besten Variablen aus Texteingabefeldern am besten validiert, da sie ja eigentlich jeden Inhalt haben. Momentan markiere ich eigentlich nur die Sonderzeichen mit folgenden Befehl, aber das reicht sicher noch nicht aus.
Hat jemand eine guten Hinweis?


htmlentities($_POST['message'],ENT_QUOTES);

MfG
GP


--------------------
SnEO.de - PR4 Domains ab 1 Euro
GoodBoard.de - Kostenlose Foren
FSJ-ADiA.de - Zivildienst im Ausland
Top
PMEmail PosterUsers Website
Top
 
 
sd12
#2 Geschrieben am: Do 11.10.2007, 15:00 (+00:14)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004
erstelle eine Datei security.php darin fügst Du folgenden Code ein:
CODE
<?
function RemoveXSS($val) {
  // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
  // this prevents some character re-spacing such as <java\0script>
  // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
  $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val);
 
  // straight replacements, the user should never need these since they're normal characters
  // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
  $search = 'abcdefghijklmnopqrstuvwxyz';
  $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
  $search .= '1234567890!@#$%^&*()';
  $search .= '~`";:?+/={}[]-_|\'\\';
  for ($i = 0; $i < strlen($search); $i++) {
     //;? matches the;, which is optional
     // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
 
     // &#x0040 @ search for the hex values
     $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a;
     // &#00064 @ 0{0,7} matches '0' zero to seven times
     $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a;
  }
 
  // now the only remaining whitespace attacks are \t, \n, and \r
  $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
  $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
  $ra = array_merge($ra1, $ra2);
 
  $found = true; // keep replacing as long as the previous round replaced something
  while ($found == true) {
     $val_before = $val;
     for ($i = 0; $i < sizeof($ra); $i++) {
        $pattern = '/';
        for ($j = 0; $j < strlen($ra[$i]); $j++) {
           if ($j > 0) {
              $pattern .= '(';
              $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?';
              $pattern .= '|(&#0{0,8}([9][10][13]);?)?';
              $pattern .= ')?';
           }
           $pattern .= $ra[$i][$j];
        }
        $pattern .= '/i';
        $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag
        $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
        if ($val_before == $val) {
           // no replacements were made, so exit the loop
           $found = false;
        }
     }
  }
  return $val;
}



?>


Diese security.php muss nun auf JEDER Seite includet werden.
include"security.php";


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
G.P.
#3 Geschrieben am: Do 11.10.2007, 15:12 (+00:11)
Report PostQuote Post

AyomRank 6
************

Gruppe: Member (aktiv)
Beiträge: 801
Mitglied seit: 21.10.2004
Danke fuer die Datei.

Aber ein reines Includen reicht da nicht aus, oder?
Muss ich die zu ueberpruefenden Werte jetzt an die function uebergeben?

MfG
GP


--------------------
SnEO.de - PR4 Domains ab 1 Euro
GoodBoard.de - Kostenlose Foren
FSJ-ADiA.de - Zivildienst im Ausland
Top
PMEmail PosterUsers Website
Top
 
sd12
#4 Geschrieben am: Do 11.10.2007, 15:33 (+00:21)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004
Doch, das includen als erste Zeile Code sollte ausreichen.

Ich arbeite nicht mit funktionen, desshalb kann ich es nicht garantieren. Aber mach einfach schnell einen Test.


--------------------
************************
Treiber f[r das Kezboard ist [berfl[ssig.
Top
PMEmail PosterICQMSN
Top
 
G.P.
#5 Geschrieben am: Do 11.10.2007, 15:42 (+00:09)
Report PostQuote Post

AyomRank 6
************

Gruppe: Member (aktiv)
Beiträge: 801
Mitglied seit: 21.10.2004
Ich ahbe es mal ausgestestet und die Funktion muss mit der zu ueberpruefenden Variablen aufgerufen werden.

Auch ist mir aufgefallen, das unter verwendung von "htmlentities" das ganze Script unnoetig wird.
Wenn ich das richtig sehe, schuetzt das Script nur vor "Fehlerhaften" HTML und Javascript Anweisungen. Unter der Verwendung von "htmlentities" sind diese aber gar nicht moeglich, da alle Tags maskiert werden.

MfG
GP


--------------------
SnEO.de - PR4 Domains ab 1 Euro
GoodBoard.de - Kostenlose Foren
FSJ-ADiA.de - Zivildienst im Ausland
Top
PMEmail PosterUsers Website
Top
 
hatschi1810
#6 Geschrieben am: Do 11.10.2007, 15:48 (+00:05)
Report PostQuote Post

AyomRank 6
Group Icon

Gruppe: Experten Entwicklung (Mod)
Beiträge: 638
Mitglied seit: 20.01.2004
Meiner Meinung nach würde ich mich gegen MySql-Injections nicht auf RemoveXSS, das wohl eher auf Cross Site Scripting abzielt, verlassen.

Beispiel:
require_once('db.inc.php');
$order = isset($_GET['o']) ? $_GET['o'] : 'userid';
$order = (mysql_real_escape_string(RemoveXSS($order)));
RunQuery("SELECT userid, username FROM sql_injection_test ORDER BY $order");


Aufruf mit o=IF ( (SELECT userid FROM sql_injection_test WHERE username=0x57696e6e6965 AND password=0x31323334), userid, username)

geht ohne Probleme auch zusammen mit mysql_real_escape_string durch!
Das Statement sieht dann so aus: „SELECT userid, username FROM sql_injection_test ORDER BY IF ( (SELECT userid FROM sql_injection_test WHERE username=0x57696e6e6965 AND password=0x506f6f68), userid, username)”


Es gibt dazu einen super Artikel und ein „Testkit“ unter: http://webappsec.org/projects/articles/091007.shtml
Top
PMEmail Poster
Top
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#7 Geschrieben am: Do 11.10.2007, 16:13 (+00:25)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2432
Mitglied seit: 4.02.2006
Sql-Injektionen beruhen darauf, daß der Sql-Code on the fly zusammengebaut und daß durch Benutzereingaben zusätzliche Logik, also Elemente außerhalb von Parameterwerten, eingefügt werden.

Das Problem läßt sich vollständig vermeiden, wenn man auf das Zusammenbauen on the fly verzichtet und alle Zugriffe über gespeicherte Prozeduren abwickelt, denen Parameter übergeben werden. Damit wird der Code, die Logik, kompiliert und die Parameterwerte erst anschließend ergänzt. Die Logik läßt sich nun nicht mehr verändern.

Alles andere ist angesichts von Beispielen ähnlich zu denen, die @hatschi1810 gepostet hat, nur ein Kampf gegen Windmühlenflügel.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung.
Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert.
Top
PMEmail PosterUsers Website
Top
 
hatschi1810
#8 Geschrieben am: Do 11.10.2007, 16:22 (+00:08)
Report PostQuote Post

AyomRank 6
Group Icon

Gruppe: Experten Entwicklung (Mod)
Beiträge: 638
Mitglied seit: 20.01.2004
Wie Jürgen schreibt sind prepared statements sicher die beste Lösung, leider hinken da die meisten PHP-Anwendungen doch erheblich nach.
Mit meinem Beispiel wollte ich auch nur zeigen das sowohl mysql_real_escape_string als auch selbstgebastelte/kopierte Lösungen leider nicht 100% sicher sind.
Top
PMEmail Poster
Top
 
jAuer
Jürgen Auer - freiberufl. Programmierer
#9 Geschrieben am: Do 11.10.2007, 16:59 (+00:37)
Report PostQuote Post

AyomRank 9
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 2432
Mitglied seit: 4.02.2006
Die Konsequenz heißt für mich einfach, daß entsprechende Programmierumgebungen (mySql-Version, die keine Stored Procedures unterstützt oder bewußte Nichtnutzung des entsprechendes Features der Datenbank durch die Entwickler) für ernstzunehmende Online-Anwendungen nicht geeignet bzw. nicht zulässig sind / sein dürfen.

Von PHP habe ich zu wenig Ahnung. Aber gibt es denn in PHP nicht eine Möglichkeit, sP aufzurufen und Parameter zu übergeben? Die Erstellung der sP macht zwar ziemlich viel Arbeit, aber damit ist das Problem der Sql-Injektionen lösbar.

Voraussetzung ist natürlich ein passendes Backend - Postgres oder eine der neueren mySql-Versionen.


--------------------
Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.

server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung.
Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert.
Top
PMEmail PosterUsers Website
Top
 
Sven K
#10 Geschrieben am: Do 11.10.2007, 19:44 (+02:44)
Report PostQuote Post

AyomRank 4
********

Gruppe: Member (aktiv)
Beiträge: 144
Mitglied seit: 27.10.2006
mysql_real_escape_string bei der eingabe und htmlentities bei der ausgabe reichen vollkommen aus.


--------------------
idiot confusion device | Computer Forum
Top
PMEmail Poster
Top
 
PH
#11 Geschrieben am: Do 11.10.2007, 20:03 (+00:19)
Report PostQuote Post

AyomRank 7
**************

Gruppe: Member (aktiv)
Beiträge: 1260
Mitglied seit: 29.08.2004
eine andere Möglichkeit ist mod_security
Top
PMEmail Poster
Top
 
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
« Banner werden in der Homepage nicht angezeigt | Programmierung Allgemein | Umstellung von php3 auf php4 »
Trackback-Url: http://www.ayom.com/track/t/21056
Dieses Thema abonnieren

Topic Options Reply to this topicStart new topicStart Poll

 





Anzeige - [Hier werben / Mediadaten]



Anzeigen


[Hier werben / Mediadaten]