Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

gaspode · 07-03-2009, 14:43

Hallo.

Habe schon viel in diesem Forum gelesen und bin dabei
über SQL_Injection gestolpert. Den Artikel bei Wikipedia
habe ich auch gelesen.

Dort steht z.B. man sollte bei PHP statt

Code:

$abfrage = "SELECT spalte1
            FROM tabelle
            WHERE spalte2 = '".$_POST['spalte2Wert']."'";
$query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!");

lieber folgendes schreiben.

Code:

$abfrage = "SELECT spalte1
            FROM tabelle
            WHERE spalte2 = '".mysql_real_escape_string($_POST['spalte2Wert'])."'";
$query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!");

Aber hier findet ja jedes Mal ein Aufruf über $_POST statt
und diesen habe ich ja bei AmfPHP nicht, da die Werte
ja direkt als Methoden-Parameter kommen. Ich habe z.B.
folgende Methode.

PHP-Code:

  public function getEntryById( $id )
{
  $call = mysql_query( "SELECT title, client WHERE id =".$id );
        
  if( $call )
  {
    $row = mysql_fetch_object( $call );
        
    $returnArray = array();
            
    $returnArray["title"] = $row->title;
    $returnArray["client"] = $row->client;
        
    return $returnArray;
  }
  else
  {
    return false;
  }
}

Muss ich jetzt die von Flash kommende $id auch irgendwie escapen
(und wenn ja wie?) oder treten hier diese Risiken nicht auf, da der
Wert nicht über $_POST in die PHP-Methode gelangt?

gruß, gaspode

mohj · 07-03-2009, 15:28

Hallo. MySQL Injection sollte auch bei AmfPHP möglich sein. Das Problem ist nicht die Methode (Post, Get oder was auch immer), sondern der Inhalt. Am besten und schnellsten funktioniert eine Vorbeugung, wenn deine Datenbank etwas mit MySQLi anfangen kann. Dadurch kannst du Prepared Statements verwenden, das heisst, die Datenbankabfrage wird zuerst vorbereitet und erst dann geschickt.

PHP-Code:

  $query = 'SELECT title, client WHERE id = ?';
  
  $command = mysqli_prepare($query);
  //Abfrage wird vorbereitet mit den zu erwartenden Werten, s für String, i für Integer usw.
  mysqli_stmt_bind_param($command, 'i', $id);  
  $call = mysqli_stmt_execute($command);

Falls nicht, kannst du das Escapen auch selber vornehmen und mittels sprintf auf korrekten Inhalt überprüfen:

PHP-Code:

  $query = sprintf('SELECT title, client WHERE id = \'%i\'', mysql_real_escape_string($id));
  $call = mysql_query($query);

gaspode · 07-03-2009, 15:42

Danke für die Infos.

gruß, gaspode

mohj · 07-03-2009, 15:49

Mir ist grad noch aufgefallen, dass ein Integerwert bei sprintf ein "d" und nicht ein "i" ist. Wird sonst nicht funktionieren.

gaspode · 07-03-2009, 17:19

Wofür steht denn das hier eigentlich?

\'%i\' bzw. \'%d\'

gruß, gaspode

mohj · 07-03-2009, 18:41

Hallo. Das sind Platzhalter mit einer Typisierung, welche mit den Argumenten nach dem Komma gefüllt werden. Dadurch stellst du sicher, dass der übermittelte Wert "id" auch wirklich eine Zahl ist und nicht wie bei einer MySQL Injection ein String.

gaspode · 07-03-2009, 18:43

Ja, habe es mittlerweile auch bei php.net gefunden.
Danke nochmal für die infos.

gruß, gaspode

gaspode · 09-03-2009, 14:12

Hmm, irgendwie bekomme ich das nur zum laufen, wenn ich die \' weglasse.

Code:

$query = sprintf('SELECT title, client WHERE id = %d", mysql_real_escape_string($id));

Macht das einen Unterschied?

gruß, gaspode

07-03-2009, 14:43	#1 (permalink)
gaspode Der Wunderhund Registriert seit: Jun 2002 Ort: Hattingen Beiträge: 10.515	AmfPHP und SQL-Injection Hallo. Habe schon viel in diesem Forum gelesen und bin dabei über SQL_Injection gestolpert. Den Artikel bei Wikipedia habe ich auch gelesen. Dort steht z.B. man sollte bei PHP statt Code: $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '".$_POST['spalte2Wert']."'"; $query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!"); lieber folgendes schreiben. Code: $abfrage = "SELECT spalte1 FROM tabelle WHERE spalte2 = '".mysql_real_escape_string($_POST['spalte2Wert'])."'"; $query = mysql_query($abfrage) or die("Datenbankabfrage ist fehlgeschlagen!"); Aber hier findet ja jedes Mal ein Aufruf über $_POST statt und diesen habe ich ja bei AmfPHP nicht, da die Werte ja direkt als Methoden-Parameter kommen. Ich habe z.B. folgende Methode. PHP-Code: `public function getEntryById( $id ) { $call = mysql_query( "SELECT title, client WHERE id =".$id ); if( $call ) { $row = mysql_fetch_object( $call ); $returnArray = array(); $returnArray["title"] = $row->title; $returnArray["client"] = $row->client; return $returnArray; } else { return false; } }` Muss ich jetzt die von Flash kommende $id auch irgendwie escapen (und wenn ja wie?) oder treten hier diese Risiken nicht auf, da der Wert nicht über $_POST in die PHP-Methode gelangt? gruß, gaspode Geändert von gaspode (07-03-2009 um 14:44 Uhr)

07-03-2009, 15:28	#2 (permalink)
mohj Neuer User Registriert seit: Jan 2009 Beiträge: 423	Hallo. MySQL Injection sollte auch bei AmfPHP möglich sein. Das Problem ist nicht die Methode (Post, Get oder was auch immer), sondern der Inhalt. Am besten und schnellsten funktioniert eine Vorbeugung, wenn deine Datenbank etwas mit MySQLi anfangen kann. Dadurch kannst du Prepared Statements verwenden, das heisst, die Datenbankabfrage wird zuerst vorbereitet und erst dann geschickt. PHP-Code: `$query = 'SELECT title, client WHERE id = ?'; $command = mysqli_prepare($query); //Abfrage wird vorbereitet mit den zu erwartenden Werten, s für String, i für Integer usw. mysqli_stmt_bind_param($command, 'i', $id); $call = mysqli_stmt_execute($command);` Falls nicht, kannst du das Escapen auch selber vornehmen und mittels sprintf auf korrekten Inhalt überprüfen: PHP-Code: `$query = sprintf('SELECT title, client WHERE id = \'%i\'', mysql_real_escape_string($id)); $call = mysql_query($query);` Geändert von mohj (07-03-2009 um 15:32 Uhr)

09-03-2009, 14:12	#8 (permalink)
gaspode Der Wunderhund Registriert seit: Jun 2002 Ort: Hattingen Beiträge: 10.515	Hmm, irgendwie bekomme ich das nur zum laufen, wenn ich die \' weglasse. Code: $query = sprintf('SELECT title, client WHERE id = %d", mysql_real_escape_string($id)); Macht das einen Unterschied? gruß, gaspode

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

07-03-2009, 15:42	#3 (permalink)
gaspode Der Wunderhund Registriert seit: Jun 2002 Ort: Hattingen Beiträge: 10.515	Danke für die Infos. gruß, gaspode

07-03-2009, 15:49	#4 (permalink)
mohj Neuer User Registriert seit: Jan 2009 Beiträge: 423	Mir ist grad noch aufgefallen, dass ein Integerwert bei sprintf ein "d" und nicht ein "i" ist. Wird sonst nicht funktionieren.

07-03-2009, 17:19	#5 (permalink)
gaspode Der Wunderhund Registriert seit: Jun 2002 Ort: Hattingen Beiträge: 10.515	Wofür steht denn das hier eigentlich? \'%i\' bzw. \'%d\' gruß, gaspode

07-03-2009, 18:41	#6 (permalink)
mohj Neuer User Registriert seit: Jan 2009 Beiträge: 423	Hallo. Das sind Platzhalter mit einer Typisierung, welche mit den Argumenten nach dem Komma gefüllt werden. Dadurch stellst du sicher, dass der übermittelte Wert "id" auch wirklich eine Zahl ist und nicht wie bei einer MySQL Injection ein String.

07-03-2009, 18:43	#7 (permalink)
gaspode Der Wunderhund Registriert seit: Jun 2002 Ort: Hattingen Beiträge: 10.515	Ja, habe es mittlerweile auch bei php.net gefunden. Danke nochmal für die infos. gruß, gaspode