php - Sikre mod SQL injection - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php mysqli

<< < 1 2 > >>

Bruger #13010 @ 31.01.13 23:05

440

Hvordan sikre jeg mod injection ?

Min kode er sådan her.

PHP kode

 if ($stmtb = $db->prepare("SELECT * FROM $tablenavn WHERE url=?")) {
 
    $stmtb->bind_param('s', $url);
    $stmtb->execute();
    $stmtb->bind_result($xid, $xantalstemmer, $xtotal, $xgennemsnit, $xurl, $xsidsteip);
 
 if ($stmtc = $db->prepare("UPDATE $tablenavn SET antalstemmer=antalstemmer+1, totalrating=totalrating+?, gennemsnit=? WHERE url=? AND sidsteip=?")) {
 
    $stmtc->bind_param('idss', $rating, $nygennemsnit, $url, $sidsteip);
    $stmtc->execute();
    $stmtc->close();
 
 if ($stmtd = $db->prepare("INSERT INTO $tablenavn (antalstemmer, totalrating, gennemsnit, url, sidsteip) VALUES ('1', ?, ?, ?, ?)")) {
 
    $stmtd->bind_param('idss', $rating, $rating, $url, $sidsteip);
    $stmtd->execute();
    $stmtd->close();

Indlæg senest redigeret d. 31.01.2013 23:06 af Bruger #13010

11 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt -2 karma

Sorter efter stemmer Sorter efter dato

Bruger #14645 @ 31.01.13 23:07

806

Kommer an på hvor $tablenavn kommer fra. Hvis det er bruger input så kan der stadig udføres injection. Men ellers ser det rigtigt ud.

Indlæg senest redigeret d. 31.01.2013 23:07 af Bruger #14645

Bruger #13010 @ 31.01.13 23:24

440

$tablenavn sætter jeg kun selv.

Jeg har kørt et program der hedder Acunetix som kan teste sådan noget også lader det til der er sket injection med den kode ovenfor.

Jeg har denne kode som hente data og viser på hjemmesiden.

PHP kode

 if ($stmt = $db->prepare("SELECT * FROM $GLOBALS[setup][tablenavn] ORDER BY 'gennemsnit' DESC")) {
 
    $stmt->execute();
 
    if ($stmt->bind_result($id, $antalstemmer, $total, $gennemsnit, $url, $sidsteip)) {
 
       while ($stmt->fetch()) {
 
          $tableindhold .= '<tr>';
          $tableindhold .= '<td>' . $id . '</td>';
          $tableindhold .= '<td>' . $antalstemmer . '</td>';
          $tableindhold .= '<td>' . $total . '</td>';
          $tableindhold .= '<td>' . $gennemsnit . '</td>';
          $tableindhold .= '<td>' . $url . '</td>';
          $tableindhold .= '<td>' . $sidsteip . '</td>';
          $tableindhold .= '</tr>';
 
       }
 
    }
 
    $stmt->close();

Når jeg går ind på siden kommer der en Javascript alter() boks hvor der står 953153 fordi denne kode står mellem td og /td og det gør den ved $url.

Kode

'"()&%1<ScRiPt >prompt(953153)</ScRiPt>

Det hedder måske ikke injection ?

Det skal kun være tilladt med en URL i $url som fåes gennem GET.
Så det skal ikke være tilladt med HTML tags og javascript kode osv.

Hvordan gør jeg det på den bedste måde ?

Jeg kan gøre sådan her men er det mening man skal gøre sådan ?
Det vel bedre at sikre sig det ikke kommer ind til at starte med.

PHP kode

 $url = str_replace("<", "&lt;", $url);
 $url = str_replace(">", "&gt;", $url);

Indlæg senest redigeret d. 01.02.2013 00:54 af Bruger #13010

Bruger #955 @ 01.02.13 08:25

1.624

Det er ikke injection, men manglende validering.

Hvis du beder brugeren om en url, så skal du sikre dig at det er en url.

Bruger #2695 @ 01.02.13 08:40

1.963

Det du ser der kaldes cross site scripting. Brugerleveret input, som indeholder JavaScript og HTML tags bliver skrevet direkte tilbage uden filtrering.

Du kan bruge strip_tags() til at fjerne al HTML fra en streng, eller htmlspecialchars() til at konvertere alle '<', '>', '&', '"' og "'" tegn til '>', '<', '&', '"' og '''.

Hvis det er meningen, at man skal kunne skrive HTML, så brug HTMLPurifier: http://htmlpurifier.org/
Den filtrerer al JavaScript væk.

Bruger #13010 @ 01.02.13 16:48

440

Hvis jeg nu modtager en string i queryen som for eksempel ;
"fil.php?url=/mappe/filnavn.php"

Også vil jeg gerne teste at "/mappe/filnavn.php" nu også er en sti og ikke noget javscript kode osv hvordan gør jeg det ?

Jeg har kigget på filter_var($url, FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED) men der skal stå "http://..." foran og det vil jeg helst ikke have.

Bruger #17081 @ 01.02.13 23:21

1.258

Som @Robert Larsen siger, så er det ikke SQL injection, men XSS (cross site scripting), det vil sige, at dine brugere (hackere eller almindelige brugere) kan indsætte javascript på din side og dermed udføre ondsindet kode.

Derfor skal du altid validere / filtrere alt input fra brugere serverside og det kan faktisk være meget svært, da der findes mange måder, at skjule et scripttag på. Eller det behøver ikke engang være et scripttag, for nedestående er f.eks. også valid kode:

HTML kode

 <a href="javascript:alert('du er nu blevet hacked');" >plx click me!</a>

Bruger #13010 @ 01.02.13 23:33

440

Ok men nu er det bare en sti der skal være.
Så hvordan tester jeg at det er en sti ?

Altså værdien skal være : /mappe/filnavn.php
I den stil.

Bruger #17081 @ 01.02.13 23:35

1.258

med regex

Bruger #13010 @ 02.02.13 00:12

440

Er der ikke en funktion i PHP som kan sige "er det her en sti" ?
ligesom is_path("/mappe/filnavn.php") eller noget i den stil.

Bruger #2695 @ 02.02.13 10:37

1.963

Der er kun få tegn som ikke er lovlige i en sti så

Kode

/path/to/<a href='javascript:alert("hej")'>Yo</a>/some/file.txt

...kunne meget vel være en valid sti...men det ved du nok mere om. Hvis du har en konvention om, at kun alfanumerics, underscore og punktum er tilladt i filnavne, så laver du bare et regex, som tjekker det. Hvis filen også skal eksistere, så kan du tjekke det, og droppe ud, hvis den ikke eksisterer.

<< < 1 2 > >>

Sikre mod SQL injection

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler