php - pSQL - Prevent SQL Injection - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #16038 @ 04.08.10 21:16

Hej Udviklere!
Jeg har idag kedet mig lidt i nogle timer og har derfor lavet et script jeg vil dele med jer' som skulle sikre mod mysql injection.

Kode

<?php
/* This script is created by Jonas Jensen (iJonas@live.dk) all people are free to use this scripts as long this text is keeped!  I dont have the responsibility for any damage this script must have.
Feel free to contact me @ iJonas@live.dk */
$sendmail = "1"; // Send a mail if someone does the injection trick? 1=Y 0=N
$mail = "iJonas@live.dk";
$warningmessage = "Din aktivitet er blevet registret!";
function v2($content,$sendmail,$warningmessage,$mail) {
	if (preg_match("/(.)=(.)--/", $content)) {
		if($sendmail == "0") { echo "<font color=\"red\">$warningmessage<br /><b>IP: $_SERVER[REMOTE_ADDR]</b></font>"; exit(); }else{
		$time = date("H:i:s");
		$date = date("d/m/Y");
		mail("$mail","SQL INJECTION DETECTED AT $_SERVER[SCRIPT_FILENAME]","This message is automatically generated by the SQL INJECTION DETECTOR running @ $_SERVER[SERVER_ADDR] \n IP Comitted the crime: $_SERVER[REMOTE_ADDR] \n Comitted at $_SERVER[REQUEST_URI] \n Time/Date $time (HH/MM/SS) $date (DD/MM/YYYY)","from:SQJL@INJECTION.COM");
		} // NO PROBLEMS DETECTED WE'RE ALL HAPPY =D 
	}
}
if(isset($_POST)) {
	foreach($_POST as $x => $content) {
		v2($content,$sendmail,$warningmessage,$mail);
		$_POST[$x] = stripslashes($content);
		$_POST[$x] = mysql_real_escape_string($content);
	}
}

if(isset($_GET)) {
	foreach($_GET as $x => $content) {
		v2($content,$sendmail,$warningmessage,$mail);
		$_GET[$x] = stripslashes($content);
		$_GET[$x] = mysql_real_escape_string($content);
	}
}
?>

- Bedøm gerne

Bruger #2330 @ 05.08.10 13:40

444

Den bedste løsning er i stedet at sørge for at dine inputs er beskyttede korrekt vha. f.eks. mysql_real_escape_string, eller efter min mening bedre, prepared statements.

Dit script tjekker udelukkende efter et den gode gamle n=n, efterfulgt af en udkommentering. Alt efter hvor crackeren får adgang, kan vedkommende også vælge at bruge f.eks. "1=1)--" eller "');<ond kommando her>;--". Bemærk at den sidste slet ikke indeholder en n=n.

Konklusionen må være at det at forsøge at beskytte sig med specifikke inputs ikke redder dig, det gør kun inputvalidering.

Bruger #8223 @ 07.08.10 09:41

1.065

Den bedste løsning er i stedet at sørge for at dine inputs er beskyttede korrekt vha. f.eks. mysql_real_escape_string, eller efter min mening bedre, prepared statements.

Dit script tjekker udelukkende efter et den gode gamle n=n, efterfulgt af en udkommentering. Alt efter hvor crackeren får adgang, kan vedkommende også vælge at bruge f.eks. "1=1)--" eller "');<ond kommando her>;--". Bemærk at den sidste slet ikke indeholder en n=n.

Konklusionen må være at det at forsøge at beskytte sig med specifikke inputs ikke redder dig, det gør kun inputvalidering.

Hvor beskytter han imod specifikke inputs? Det eneste han reelt gør er jo lige netop som du siger at køre dem igennem mysql_real_escape_string

Bruger #2330 @ 07.08.10 10:42

444

Hele v2 funktionen har til formål at tjekke efter specifikke inputs, matchende ud fra en regular expression:

Kode

if (preg_match("/(.)=(.)--/", $content)) {

Jeg er ikke alt for stærk i regexps, men det ligner for mig et tjek efter en klassisk "' OR n=n--"-injection.

Jeg er dog klar over at han escaper alt input, men så er vi tilbage ved Magic Quotes. Hvorfor escape alt input, og kører en regular expression på hver inputvariabel, hvis man f.eks. ikke bruger alle inputs i en database, eller vælger at bruge prepared statements eller lignende.

En helt anden ting er, hvad så hvis man bruger cookie variabler? De er ikke beskyttet her jo. Så risikere man bare at man får alle ens post- og get-variabler escaped, men så glemmer man lige at få dem fra cookies escaped også.

Jeg holder derfor stadig på at det er bedst at escape sine inputs der hvor det er nødvendigt, og være klar over at man gør det, frem for at escape alle inputs, og så tage det for givet at de er escaped. Såvidt jeg ved var dette også en af grundene til at magic quotes blev fjernet fra PHP.

pSQL - Prevent SQL Injection

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler