[HaBo]

**bitmuncher** · 11.10.11, 23:57

Da musst du aber eine Menge oder sehr komplexe Regexen durchgehen, bevor du alle möglichen SQL-Injections ausschliessen kannst ohne valide Inputs zu zerstören. Nimm z.B. einen Blog-Beitrag über SQL-Injections. Den würdest du mit dieser Vorgehensweise unleserlich machen.

Da sollte man dann doch eher die Tipps von PHP: SQL Injection - Manual befolgen und auf Funktionen wie mysql_real_escape_string() zurückgreifen. Wenn der Input irgendwo wieder ausgegeben wird, kann man auch mit htmlentities() gleich eine Umwandlung von Sonderzeichen in HTML-Code vornehmen. Ausserdem natürlich eine Typenprüfung vornehmen, wenn es um reine Integer-Werte geht, wie im eingangs erwähnten Beispiel. 'id' soll da ja offenbar eh eine Zahl sein, also sollte man auch prüfen ob 'id' wirklich eine Zahl ist. Ein String wie '-54+union+select+concat_ws(0x3a,version(),database( ),user()),2,3,4' würde dann gar nicht erst an die DB weitergereicht, weil es eindeutig keine ist.

Hackse · 12.10.11, 00:26

Zitat:

Zitat von bitmuncher

Da musst du aber eine Menge oder sehr komplexe Regexen durchgehen, bevor du alle möglichen SQL-Injections ausschliessen kannst ohne valide Inputs zu zerstören. Nimm z.B. einen Blog-Beitrag über SQL-Injections. Den würdest du mit dieser Vorgehensweise unleserlich machen.

Für Blog-Einträge und komplexere Unterfangen ist die Funktion nicht vorgesehen. Ich verwende sie lediglich im Kontext simpler Usereingaben in Editfeldern (z.B. Usernamen, Passwort, etc.) um zu prüfen, ob die eingegebenen Daten dem für ein Feld gültigem Zeichenvorrat unterliegen.

In einer meiner, ich nenne es mal "Chat-Anwendungen", müssen User einen eindeutigen Nicknamen eingeben, der zwischen 3 und 15 Zeichen und alphanumerisch sein muss. Das überprüfe ich unter Verwendung o.g. Funktion dann wiefolgt:

PHP-Code:

  // user's nickname
  case "nickname": switch (check_user_input($value, 3, 15, "/^[a-zA-Z0-9_-]+$/")) {
                          case -1 : echo ("- Nickname too short\n<br>"); $create_db=false; break;
                          case  1 : echo ("- Nickname too long\n<br>");  $create_db=false; break;
                          case  2 : echo ("- Nickname invalid\n<br>");   $create_db=false; break;
                   }
                   break;

Übersehe ich in o.g. Beispiel mögliche Schwachstellen, die ein Angreifer ausnutzen könnte?

Anzeige

- Anzeige -

11.10.11, 23:57	#16 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 443	Anzeige Da musst du aber eine Menge oder sehr komplexe Regexen durchgehen, bevor du alle möglichen SQL-Injections ausschliessen kannst ohne valide Inputs zu zerstören. Nimm z.B. einen Blog-Beitrag über SQL-Injections. Den würdest du mit dieser Vorgehensweise unleserlich machen. Da sollte man dann doch eher die Tipps von PHP: SQL Injection - Manual befolgen und auf Funktionen wie mysql_real_escape_string() zurückgreifen. Wenn der Input irgendwo wieder ausgegeben wird, kann man auch mit htmlentities() gleich eine Umwandlung von Sonderzeichen in HTML-Code vornehmen. Ausserdem natürlich eine Typenprüfung vornehmen, wenn es um reine Integer-Werte geht, wie im eingangs erwähnten Beispiel. 'id' soll da ja offenbar eh eine Zahl sein, also sollte man auch prüfen ob 'id' wirklich eine Zahl ist. Ein String wie '-54+union+select+concat_ws(0x3a,version(),database( ),user()),2,3,4' würde dann gar nicht erst an die DB weitergereicht, weil es eindeutig keine ist. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

SQL Injections