[PHP] leren securen voor SQL injections

woensdag 7 december 2005 10:41

Acties:

0 Henk 'm!

Schreeuwen en Nibbits eten!

Topicstarter

Hey tweakers.. ben op het moment mezelf aan het aanleren te securen tegen mySQL injections. Nou zat ik wat te pielen met een oude foutieve query van mij, namelijk de volgende:

PHP:

   if($_SERVER['REQUEST_METHOD'] == "POST" && !empty($_POST['dellist'])){
    $dellist = $_POST['dellist'];
    for($i = 0; $i < sizeof($dellist); $i++){
        mysql_query("DELETE FROM columns WHERE col_id = '".$dellist[$i]."'");
        mysql_query("DELETE FROM comments WHERE col_id = ". $delist[$i]);
    }
   }

Nu is het mogelijk gewoon lokaal via een HTML dit script remote aan te spreken via een form met bijvoorbeeld een value

PHP:

1	<INPUT id="checkbox" type="checkbox" name="dellist[]" value="1337" checked>

Nou zit het probleem hem voornamelijk in de 2 query. Ik kan wel de comment deleten waar col_id = 1337 nu dus. Dus dat snap ik. Maar zo zijn er ook een aantal met col_id = NULL in de table. Maar als ik er van maak

PHP:

1	value="1337 OR col_id IS NULL"

dan pikt hij dat niet. Ook als 1337 al niet meer bestaat. Wat tevens niet werkt is bijvoorbeeld

PHP:

1	value="1337 OR id=1"

(note verschil tussen eerst col_id en nu id AKA de PK)

Ik sta echt voor een raadsel, wat ik doe lijkt niet via een OR oid te appenden zijn. Zelfs als ik er value="NULL" van maak werkt het niet..

Iemand enig idee waarom? GoT en google konden me search-gewijs niet van dienst zijn

[ Voor 9% gewijzigd door apNia op 07-12-2005 10:50 ]

woensdag 7 december 2005 10:44

Acties:

0 Henk 'm!

Infinitive

Zoek eens naar:

code:

1	AddSlashes()

code:

1	mysql_quote()

Of wacht, dat is volgens mij je probleem niet

Jij hebt juist dat je SQL Injections WILT hebben.

[ Voor 49% gewijzigd door Infinitive op 07-12-2005 10:45 ]

putStr $ map (x -> chr $ round $ 21/2 * x^3 - 92 * x^2 + 503/2 * x - 105) [1..4]

woensdag 7 december 2005 10:51

Acties:

0 Henk 'm!

apNia

Schreeuwen en Nibbits eten!

Topicstarter

Jep, dat wil ik juist dat allemaal snappen. Want ik snap mySQL injections for one reason or another niet echt.
Als ik dus dit doe:
<INPUT id="checkbox" type="checkbox" name="dellist[]" value="13 OR col_id IS NULL" checked>

Krijg ik wel netjes dit terug...
Array ( [0] => 13 OR col_id IS NULL )

Waarom pikt PHP dit nou gewoon niet en delete ie niet waar de de col_id NULL is?

woensdag 7 december 2005 10:55

Acties:

0 Henk 'm!

XWB

Devver

Print je query eens.

March of the Eagles

woensdag 7 december 2005 10:56

Acties:

0 Henk 'm!

Infinitive

Hint: output je sql-query eens, dan zie je wat er mis gaat

(namelijk dat een deel van de query als string wordt aangezien. Bij een sql injection gebruik je meestal wat truukjes om uit zo'n string te ontsnappen).

Waarschijnlijk als je:

code:

1	13' OR col_id IS NULL OR col_id='blaat

invult dan doet 'ie het wel. Als magic sql quotes niet aan staan tenminste.

[ Voor 9% gewijzigd door Infinitive op 07-12-2005 10:57 . Reden: double quotes to single quotes ]

putStr $ map (x -> chr $ round $ 21/2 * x^3 - 92 * x^2 + 503/2 * x - 105) [1..4]

woensdag 7 december 2005 10:58

Acties:

0 Henk 'm!

sorted.bits

Wat ik altijd doe is eerst de query even in een string zetten (dus samen gesteld) en dan kijken of je wel kan runnen in PHPMyAdmin (bijvoorbeeld).

Werkt dat wel?

woensdag 7 december 2005 11:02

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Php
Sql

P&W FAQ - Hoe beveilig ik een website?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 7 december 2005 11:31

Acties:

0 Henk 'm!

Woy

Moderator Devschuur®

Infinitive schreef op woensdag 07 december 2005 @ 10:44:
Zoek eens naar:
code:
1
AddSlashes()
code:
1
mysql_quote()
Of wacht, dat is volgens mij je probleem niet

Jij hebt juist dat je SQL Injections WILT hebben.

Voor mysql kan je veel beter gebruik maken van mysql_real_escape()

Het idee is eigenlijk heel eenvoudig. Als je iets als een getal in je query probeert te inserten moet je eerst controleren of het wel een getal is. Als je een string in je query probeert te gebruiken moet je zorgen dat mysql het ook als een string ziet.

Standaard is dat tussen ' '. Maar daar kan de gebruiker dan omheen omdat hij natuurlijk ook gewoon een ' in zijn query kan typen. Hiervoor zul je moeten escapen. Voor mysql gebruik je daarvoor het best de functie mysql_real_escape() deze vangt alle speciale characters af.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

woensdag 7 december 2005 12:43

Acties:

0 Henk 'm!

WormLord

Devver

Heb je misschien een foreign-key tussen naar de comments-tabel toe die je deletes blokkeerd?

woensdag 7 december 2005 13:43

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Php

WormLord schreef op woensdag 07 december 2005 @ 12:43:
Heb je misschien een foreign-key tussen naar de comments-tabel toe die je deletes blokkeerd?

Het gaat hier over MySQL, niet over een RDBMS

.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 7 december 2005 13:51

Acties:

0 Henk 'm!

bakkerl

Let there be light.

PHP PEAR gebruiken met de DB package

PHP:

$sql = "DELETE FROM table1 WHERE id=? and id2=?";
$sqldata = array($_POST["id"], $_GET["id2"]);
# evenveel elementen in de array als ? in de query string. Mogen alle types door elkaar heen zijn.

$db = DB::connect($connectstring)
$db->Query($sql, $sqldata);

# resultaten en fout afhandeling verder...

doet meteen de addslashes en alles wat er nodig is. Bij string worden er '' omheen gezet, getallen laat die gewoon staan, en alles wordt natuurlijk netjes geslashed en ge-escaped waar dat nodig is.

[ Voor 17% gewijzigd door bakkerl op 07-12-2005 13:52 . Reden: escaped opmerking erbij ]

woensdag 7 december 2005 14:06

Acties:

0 Henk 'm!

DizzyWeb

Ondertiteld

De meesten lezen niet goed. Hij wil geen injection voorkomen, hij wil JUIST een injection MAKEN!

Zoals gezegd is: print de query eens in plaats van 'm uit te voeren.

woensdag 7 december 2005 17:17

Acties:

0 Henk 'm!

MaNdM

1000-dingen-doekje

Janoz schreef op woensdag 07 december 2005 @ 13:43:
[...]

Het gaat hier over MySQL, niet over een RDBMS .

Bij gebruik van InnoDB tabellen kan je wel degelijk FK's aanmaken met cascades en dan spreek je toch echt van een RDBMS

To be determined...

woensdag 7 december 2005 17:20

Acties:

0 Henk 'm!

Verwijderd

Dit iets voor je?
KayRa: http://sourceforge.net/projects/kayra
KayRa is a Web Application Security Auditing Tool designed to test the security of websites by analyzing web pages. Some of the tests include: SQL Injection, XSS, Form behaviour with bad data. All tests carried out will be based on the OWASP guide.

woensdag 7 december 2005 17:32

Acties:

0 Henk 'm!

Thralas

Infinitive schreef op woensdag 07 december 2005 @ 10:56:
Hint: output je sql-query eens, dan zie je wat er mis gaat
(namelijk dat een deel van de query als string wordt aangezien. Bij een sql injection gebruik je meestal wat truukjes om uit zo'n string te ontsnappen).

Waarschijnlijk als je:
code:
1
13' OR col_id IS NULL OR col_id='blaat
invult dan doet 'ie het wel. Als magic sql quotes niet aan staan tenminste.

Simpeler is -- aan het eind van de string te appenden, alles erna wordt gezien als comment. Raar dat IS NULL niet werkt, weet je zeker dat de velden null zijn en niet ""?
Ik neem aan dat

SQL:

OR 1=1--

wel werkt?

Volgens mij zul je per request maar bij één van de twee queries kunnen injecten, aangezien de ene quotes heeft, en de ander niet.

[ Voor 3% gewijzigd door Thralas op 07-12-2005 17:32 ]

woensdag 7 december 2005 23:36

Acties:

0 Henk 'm!

DamadmOO

apNia schreef op woensdag 07 december 2005 @ 10:41:

PHP:

   if($_SERVER['REQUEST_METHOD'] == "POST" && !empty($_POST['dellist'])){
    $dellist = $_POST['dellist'];
    for($i = 0; $i < sizeof($dellist); $i++){
        mysql_query("DELETE FROM columns WHERE col_id = '".$dellist[$i]."'");
        mysql_query("DELETE FROM comments WHERE col_id = ". $delist[$i]);
    }
   }

en

PHP:

1	value="1337 OR col_id IS NULL"

oftewel je queries worden

SQL:

1 2	DELETE FROM columns WHERE col_id = '1337 or col_id IS NULL'; DELETE FROM comments WHERE col_id = 1337 or col_id IS NULL;

beide queries zijn dus fout

de manier om de sql injection te doen is zoals Infinitive reeds gezegd heeft.

[ Voor 42% gewijzigd door DamadmOO op 07-12-2005 23:41 ]

donderdag 8 december 2005 00:36

Acties:

0 Henk 'm!

Verwijderd

MaNdM schreef op woensdag 07 december 2005 @ 17:17:
Bij gebruik van InnoDB tabellen kan je wel degelijk FK's aanmaken met cascades en dan spreek je toch echt van een RDBMS

Nee niet van een echt hoor. De keys fucken nog steeds up bij een serieuze load...

donderdag 8 december 2005 14:12

Acties:

0 Henk 'm!

MaNdM

1000-dingen-doekje

Verwijderd schreef op donderdag 08 december 2005 @ 00:36:
[...]

Nee niet van een echt hoor. De keys fucken nog steeds up bij een serieuze load...

Als je kijkt naar versie 5 dan spreken we toch echter wel van een RDBMS...

To be determined...

Onderwerpen