[SQL Injection] Testy nie powiodły się

[SQL Injection] Testy nie powiodły się
Zi00mal
Zi00mal
0

Witam ponownie,
chcę poruszyć dziś kwestię SQL Injection, o którym jest bardzo głośno. Mówi się że z formularza można "zaatakować" bazę danych np: wpisując x' OR '1'='1. Wykonałem testy i nie mogłem pobrać danych z bazy. Bezpośrednio z kodu działa, ale z formularza już nie. Wykonałem sobie próbny plik:

Kopiuj
echo '
<form method="POST">
<input type="text" name="name" value=""/>
<input type="submit" value="OK" />
</form>';


if($_POST['name'] != "")
{
$name = "x' or '1'='1";
$db = new Pobierz("SELECT * FROM sqltest WHERE name='".$name."' ORDER BY id");

foreach($db->getAll() as $ele){
   foreach($ele as $ele2){
	echo $ele2." - ";
   }
  echo "<br />";
}
}

Co testowałem (podany kod php zastępuje linijkę: $name = "x' or '1'='1";):

index Co zrobiłem ? Wynik testu
1 Powyższy kod prezentuje podanie x' OR '1'='1. Jest to jedyna działająca opcja, ale nie tak to ma wyglądać działa
2 Wpisanie w formularz wartości: height' or '1'='1 błąd
3
Kopiuj
$name = $_POST['name'];

| błąd
4 | Jeżeli usuniemy powyższy kod i bezpośrednio do zapytania SQL podamy $name | błąd
5 | Jeżeli usuniemy powyższy kod i bezpośrednio do zapytania SQL podamy $_POST['name'] | błąd
6 | Wpisanie do formularza

Kopiuj
x' OR '1'='1

| błąd - dodaje \ przed '
7 | Wpisanie do formularza

Kopiuj
x\' OR \'1\'='1

| błąd - dodaje \ przed '
8 | Wpisanie do formularza (ze znakiem ' w kodzie dziesiętnym)

Kopiuj
&#039;x&#039; OR &#039;1&#039;=&#039;1&#039;

| błąd - jedyny sposób by pobrał zawartość jako x' OR '1'='1 bez dodawania znaku ****. Mimo to brak reakcji (jak zwrócimy echo dla całości to wygląda tak: SELECT * FROM sqltest WHERE name='x' OR '1'='1' ORDER BY id, a mimo to nic się nie dzieje)

Jeszcze jakieś inne testy, ale nie pamiętam. Sprawdzane było na przeglądarkach: Firefox, Explorer, Chrome - i nic. Może wy wiecie co zrobić by to zadziałało. Wszelkie testy robię na WebServ 2.0 i nie ustawiałem żadnych zabezpieczeń (poza standardem ustawień) ???

Jeżeli są jakieś błędy interpunkcyjne to nie zwracajcie na nie uwagi. Słowo błąd oznacza brak pożądanej reakcji kodu.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Demonical Monk
Demonical Monk
Demonical Monk
Demonical Monk
  • Rejestracja:ponad 17 lat
  • Ostatnio:11 miesięcy
1

magic_quotes_gpc ratuje ci tyłek, anyway jest niezalecany i denerwuje tych którzy wiedzą jak się zabezpieczać, a mimo to slashuje im na chama zmienne... Wyłącz w php.ini tą zdeprecjonowaną opcję.

Women were the reason I became a monk - and, ah, the reason I switched back...
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Zi00mal
Zi00mal
0

To ja się rozpisałem a to taka mała kwestia. Mimo to jeżeli jest taka opcja to jest potrzebne dalsze zabezpieczenie ? Nie chodzi mi o serwery gdzie tego nie ma, tylko gdzie istnieje.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Demonical Monk
Demonical Monk
Demonical Monk
Demonical Monk
  • Rejestracja:ponad 17 lat
  • Ostatnio:11 miesięcy
0

Trafisz na serwer gdzie masz wyłączone magic_quotes_gpc i masz niezły problem. Nie zaleca się używania tego, całe "zabezpieczenie" zdeprecjonował zespół PHP i ma zostać usunięte w następnych wersjach. Lepiej się zabezpieczyć we własnym zakresie i mieć pewność.

Women were the reason I became a monk - and, ah, the reason I switched back...
edytowany 1x, ostatnio: Demonical Monk
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
unikalna_nazwa
unikalna_nazwa
unikalna_nazwa
unikalna_nazwa
  • Rejestracja:ponad 14 lat
  • Ostatnio:prawie 10 lat
0

tutaj masz przykładowy sposób na ominięcie magic_quotes: http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string (sposób się zmienia zależnie od użytego w bazie danych kodowania - tutaj masz sposób na kodowanie UTF-8, ale warunkiem jest, że zapytanie będzie przepuszczone wcześniej przez funkcję utf8_decode (zdarza się często w krajach korzystających z latin1))
poza tym wystarczy, że gdzieś dasz wartość liczbową bez cudzysłowu typu WHERE id='.$name i masz kapliczkę

magic_quotes to zło rozpieszczające koderów i zwalniające ich z myślenia o prawdziwych zabezpieczeniach
warto się podwójnie zabezpieczyć na wypadek swoich przeoczeń i na przykład przy logowaniu często spotyka się sprawdzenie czy liczba userów z danym ID i hasłem jest >0 i jeśli tak to logujemy się na dane z pierwszej krotki. A skoro zapytanie mialo zwrócić dokładnie jednego usera to powinno sprawdzić raczej czy liczba zwróconych rekordów jest dokładnie równa 1, czyż nie? Program się przez to nie wydłuży

SQL Injection to nie mit skoro przeprowadzanych jest tyle ataków z jego udziałem - niedawno ofiarą padła nawet o ironio strona mysql: http://www.varlog.pl/2011/03/mysql-com-shackowane/

Pół giga extra na dropboxie? Pół giga extra na dropboxie! Tyle wygrać! >>Klik here<<
edytowany 8x, ostatnio: unikalna_nazwa
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Demonical Monk
Demonical Monk
Demonical Monk
Demonical Monk
  • Rejestracja:ponad 17 lat
  • Ostatnio:11 miesięcy
0

Generalnie zalecam używanie jakiegoś wrappera do SQL. Jest sporo nakładek poczynając od tych, które pomagają podstawiać zmienne, po takie które zapytanie w pełni zmieniają w obiekt.

Kopiuj
//przykład z użyciem wrappera
Query::getInstance()
   ->select('something', 'foo')
   ->from('jakas_tabela')
   ->where('something', EQ, $costam)
   ->execute();

Czyż nie piękne? Korzystając z czegoś takiego nie da się praktycznie zrobić podatności na SQL Injection.

Women were the reason I became a monk - and, ah, the reason I switched back...
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)