SQL-Injection

Unregistriert

Hallo

Ich habe 2 MySQL Scripts und möchte mich dabei vor SQL-Injectoins schützen.

Ich hab auch 2 Links über diesem Thema, was ich jedoch nicht ganz verstehe:
http://phpforum.de/forum/showthread.php?t=218433
http://de.wikipedia.org/wiki/SQL-Injection#PHP

Was ich weiss, ist daß ich irgendetwas escapen soll ... nur was und wie genau scheint mich irgendwie zu irritieren.

So sehen meine Scripts aus:

Script1.php

PHP

<?php
if (!isset($_GET['id']) or empty($_GET['id'])) {
	echo "Error: No Access";
}
else {
$id = $_GET['id']; 
$db = mysql_connect('xxxx', 'xxxx', 'xxxx');
if (!db) {
	die("Connection failed - Not able to connect to database: " . mysql_error());  
}
$select = mysql_select_db("xxxx", $db);
if (!$select) {
	die("Connection failed - Not able to connect to database: " . mysql_error());
}


$result = mysql_query("SELECT username,email FROM table WHERE id='$id'");
if (!$result) {
    echo 'Connection failed: ' . mysql_error();
    exit;
}


$row = mysql_fetch_assoc($result);
mysql_free_result($result);


if (!$row) {
	echo "Error: No Access";
}
else {


// do stuffs


}
}
?>

Alles anzeigen

Script2.php

PHP

<?php
if (empty($_GET['username']) or empty($_GET['email']) or !isset($_GET['submit'])) {
echo "Please get back and fill in all fields.";
}
else { 
	$username = $_GET['username'];
	$email = $_GET['email'];
	$db = mysql_connect('xxxx', 'xxxx', 'xxxx');
	if (!db) {
		die("Connection failed - Not able to connect to database: " . mysql_error());  
	}
	$select = mysql_select_db("xxxx", $db);
	if (!$select) {
		die("Connection failed - Not able to connect to database: " . mysql_error());
	}


$test = "INSERT INTO table SET username = '$username', email = '$email'";
$result = mysql_query($test);


$id = mysql_insert_id(); 
echo $id;
}
?>

Alles anzeigen

-Bambino-

Das wurde alles schon einwandfrei zusammengetragen:

Sicherheitslücken
SQL Injection

crAzywuLf

Hier mal ein Beispiel fürs erste Script:

PHP

<?php
if (!empty($id) && ctype_digit($id))
{
    $id = (int) $_GET['id']; 
    $db = @mysql_connect('xxxx', 'xxxx', 'xxxx') or die("Connection failed - Not able to connect to database!");
    $select = @mysql_select_db("xxxx", $db) or die("Connection failed - Not able to connect to database!");

    $result = mysql_query("SELECT `username`, `email` FROM `table` WHERE `id` = '" . mysql_real_escape_string($id) . "'", $db) or die('Query failed! (' . mysql_error() . ')');

    if(@mysql_num_rows($result) > 0)
    {
        $row = mysql_fetch_assoc($result);
        // do stuff
        mysql_free_result($result);
    }    
}
else
{
    echo 'No Access';
}
?>

Alles anzeigen

mysql_real_escape_string()
html_entities()
ctype_alnum()
ctype_digit()
addslashes()

sind einige von vielen die man benutzen sollte/kann!

Unregistriert

ok danke, es gibt aber 2 sachen die ich dabei nicht ganz verstehe:

1. Wozu das '@' hinter mysql?

2. Was ist mit mysql_real_escape_string() gemeint? Was ich herausfinden konnte, ist das beim Verwenden von mysql_real_escape_string() folgende Zeichen deaktiviert werden:
\x00
\n
\r
\
'
"
\x1a

Ist das so wie ich es verstanden habe richtig oder liege ich da falsch?

Afrael

1. @ vor einer Funktion zu schreiben unterdrückt Fehlermeldungen, die von der Funktion selber ausgeworfen werden.

2. Das ist richtig. Diese Zeichen können benutzt werden, um eine SQL-Injektion durchzuführen.
[Einschub: Würde die Query einfach 'SELECT `username`, `email` FROM `table` WHERE `id` = $id' ohne einfache Anführungsstriche um $id lauten, kämen wir als Angreifer sogar ohne diese Zeichen aus.]

Da wir die $_GET['id'] bereits nach Integer, also in eine Ganzzahl, konvertiert haben, ist mysql_real_escape_string an dieser Stelle sogar überflüssig. Allerdings sollte es für $username bzw $email verwendet werden.

The User

Vielleicht sollte ich das Beim SQL-Injection-Artikel aufnehmen:
Wenn escapet wird, braucht man die einfachen Anführungszeichen.
Bei intval etc. ist dies nicht nötig.
Schau dir einfach mal die Beispiele an, und du siehst, wie ein Query von einem Cracker verändert werden kann.

Übrigens deaktiviert mysql_real_escape_string keine Zeichen, sondern fügt vor ihnen Backslashes (\) ein. Somit werden sie von MySQL als einfache Zeichen behandelt.

Edit:
Habs im Artikel aufgenommen.

Unregistriert

Danke für eure Hilfe. Ich schätze ich habe einiges dazu gelernt.

Darkxor

Hier findest du auch einige hilfreiche Informationen:
http://www.elexpress.de/archives/2009/…heitsmasnahmen/

SQL-Injection

Tags

Benutzer online in diesem Thema