SQL injection: Sta sve treba da zastitim?

[Ivan]

Nije dovoljno koristiti samo mysql_real_escape_string jer u odredjenim situacijama (visestruki kveriji u jednom pozivu funkcije) je moguce zaobici ovaj vid zastite ...

Npr:

PHP kôd:

$id = "5; DELETE FROM users";
$id = mysql_real_escape_string($id);
mysql_query("SELECT * FROM users WHERE id={$id}"); 


U ovom slucaju mysql_real_escape_string nema nikakvu ulogu u zastiti nase skripte, vec je potrebno cast-ovati varijablu $id ( (int)$id ).

p.s. mysql_query() ne podrzava visetruke kverije u jednom pozivu ali npr u SQLlite i PostgreSQL funkcijama je ovo moguce izvesti.

Sledeci problem je kod LIKE operatora, ukoliko imamo neke kverije koji rade pretrazivanje baze sa ovim operatorom i plus se sve to nalazi u petlji, moze doci do DoS napada na bazu. Tj ubacivanjem % ili _ karaktera u string koji se trazi moze se iskomplikovati upit i na taj nacin "pojesti" resurse mysql servera.
Ovo nije slucaj na koji cesto nailazimo ali je dobro znati da mysql_real_escape_string ne eskejpuje % i _ karaktere, vec je potrebno uraditi ovo "rucno" (npr: str_replace).

Ovo su samo par primera ima ih jos puno ali mislim da je dovoljno za pocetak Samo jos par napomena:
- Nikad se ne oslanjajte na automatsko eskejpovanje (magic quotes)
- Ukoliko je moguce koristite "prepared statement" metod: MySQL Improved Extension, ...

[cvele]

provera tipa varijable, mod_secure, mysqli bind.

[ivanhoe]

Citat:

Originalno napisao Ivan

mysql_query() ne podrzava visetruke kverije u jednom pozivu ali npr u SQLlite i PostgreSQL funkcijama je ovo moguce izvesti.

ok, tacno je to sto si rekao, mada je ovo kontradiktorna prica, posto sa SQLlite ili PGSQL-om svakako neces ni koristiti mysql_real_escape string

Evo da rezimiram, za one sa jeftinijim ulaznicama

1. Ako je ikako moguce koristiti prepared statements. Ne samo sto je sigurnije, vec je i mnogo efikasnije kad se isti SQL izvrsava vise puta, samo se menjaju parametri. Mysql drajveri to ne podrzavaju, ali mysqli, pdo, postgres podrzavaju, tako da samo php4 + mysql kombinacija imaju problem.

2. Ako vozimo php4 i mysql (jos uvek najcesca varijanta) onda je potrebno uraditi sledece:

• mysql_real_escape_string - za obicne upite
• mysql_real_escape_string($sql) + addcslashes($sql, '%_') - za upite unutar LIKE izraza

Primer: SELECT * FROM tabela WHERE a=$a AND b LIKE '$b';
Ovde $a treba escapeovati samo sa mysql_real_escape_string, dok za $b moramo da koristimo i addcslashes

i to je to... a evo i moja funkcija za escape koja mislim da lepo sljaka:

PHP kôd:

/**
 * Escapes special characters in a string for use with mySQL queries 
 * WARNING: MySQL connection is required for this function !!  (or you'll get a E_WARNING and FALSE as the result)
 * @author Ivan Dilber (aka ivanhoe)
 * 
 * @param string $str String to be escaped
 * @param boolean $using_like Do we need to escape extra characters (% and _) for strings used inside LIKE expression
 * @return string
 */
function escape($str, $using_like=false) {
    if( get_magic_quotes_gpc() )  // if already escaped
            $str = stripslashes($str);
    $str = mysql_real_escape_string($str);

    return ( $using_like? addcslashes($str, '%_') : $str );
} 


[Peca]

i brojeve konvertovati u integer:

PHP kôd:

$_GET['id'] = intval ( $_GET['id'] ); 


[ivanhoe]

Citat:

Originalno napisao Peca

i brojeve konvertovati u integer

ili stavljati navodnike oko svega u SQL-u... cuo sam pricu da je (iz nekog cudnog razloga koji sam zaboravio) cak i brze kad se sve prosledi kao string... nesto oko nacina kako rade mysql drajveri...

[cvele]

Citat:

Originalno napisao ivanhoe

ili stavljati navodnike oko svega u SQL-u... cuo sam pricu da je (iz nekog cudnog razloga koji sam zaboravio) cak i brze kad se sve prosledi kao string... nesto oko nacina kako rade mysql drajveri...

tesko, prvenstveno zbog kolicine resursa koji se rezervisu za int vrednosti i za string vrednosti

[Ivan]

Citat:

Originalno napisao ivanhoe

ok, tacno je to sto si rekao, mada je ovo kontradiktorna prica, posto sa SQLlite ili PGSQL-om svakako neces ni koristiti mysql_real_escape string

Ma da, nego nisam hteo da komplikujem vec sam samo dao primer

Citat:

Originalno napisao cvele

provera tipa varijable, mod_secure, mysqli bind.

Cast-ovanje i prepared statments je ok, ali ne treba u potpunosti verovati u mod_security (kao i u nijedan drugi automatizovani softwer za zastitu).

[LiquidBrain]

Citat:

Originalno napisao Ivan

Ma da, nego nisam hteo da komplikujem vec sam samo dao primer


Cast-ovanje i prepared statments je ok, ali ne treba u potpunosti verovati u mod_security (kao i u nijedan drugi automatizovani softwer za zastitu).

S'obzirom da nisi hteo da komplikujesh, mogao si bar svoj sajt da proverish

[Ivan]

Mozes malo da pojasnis sta si time hteo da kazes ?

[LiquidBrain]

Citat:

Originalno napisao Ivan

Mozes malo da pojasnis sta si time hteo da kazes ?

Sorry, pomeshao sam neshto parametre, pa sam izkombinovao 2 posta u jednom.... Gledao tvoj sajt, pa se ispalio