WN - SQL-injektioner

WN (https://www.wn.se/forum/index.php)

- Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)

- - SQL-injektioner (https://www.wn.se/forum/showthread.php?t=14452)

Jag håller på att bygga en fiskesajt som ska lagra inte särskilt känsliga uppgifter i en MySQL-databas. Det här med SQL injections vill jag minnas kan ställa till både det ena och det andra i mySQL-databaser, och därför undrar jag nu;
Hur genomförs en SQL injection, kan en bandit lägga till SQL-kod i mitt inmatningsformulär som sedan ställer till besvär i databasen?
Vad kan SQL-injektioner ställa till med, kan de bara radera och förstöra eller även ta fram databasuppgifter åt banditen?
Finns det något idiotsäkert sätt att skydda sig mot sådana? T ex begränsa antalet tecken i inmatningsformuläret, göra om alla " till \", eller något annat?

Tack!

/Henke

När det gäller Mysql ska du ha ' (apostrofer) runt alla värden du skickar till databasen. Vad det gäller data som kommer in utifrån (alla variabler som du inte definierar i ditt skript) så ska du byta ut alla ' mot \'

Det vanligaste man brukar kunna göra med SQL injection är att logga in som vem om helst utan lösenord och att hämta information på egen hand ur databasen.

Alla numeriska värden skall du låta gå igenom en intval() alt. floatval().
Alla strängar skall du låta gå igenom mysql_escape_string().

Numeriska värden behöver inte ' ' runt sig, utan bara strängar.

Om du kör PHP kan du med fördel använda följande exempel (hämtad från http://se2.php.net/manual/en/functio...ape-string.php)

Kod:

<?php

// Quote variable to make safe

function quote_smart($value)

{

  // Stripslashes

  if (get_magic_quotes_gpc()) {

    $value = stripslashes($value);

  }

  // Quote if not a number or a numeric string

  if (!is_numeric($value)) {

    $value = "'" . mysql_real_escape_string($value) . "'";

  }

  return $value;

}



// Connect

$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')

  OR die(mysql_error());



// Make a safe query

$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",

      quote_smart($_POST['username']),

      quote_smart($_POST['password']));



mysql_query($query);

?>

Mer teori om SQL injections hittar du på google..

Citat:

Originally posted by henkealf@Jun 4 2006, 22:32
Jag håller på att bygga en fiskesajt som ska lagra inte särskilt känsliga uppgifter i en MySQL-databas. Det här med SQL injections vill jag minnas kan ställa till både det ena och det andra i mySQL-databaser, och därför undrar jag nu;
Hur genomförs en SQL injection, kan en bandit lägga till SQL-kod i mitt inmatningsformulär som sedan ställer till besvär i databasen?
Vad kan SQL-injektioner ställa till med, kan de bara radera och förstöra eller även ta fram databasuppgifter åt banditen?
Finns det något idiotsäkert sätt att skydda sig mot sådana? T ex begränsa antalet tecken i inmatningsformuläret, göra om alla " till \", eller något annat?

Tack!

/Henke

SQL-injections kan ställa till med olika saker beroende på vad den konfigurerade databasanvändaren i applikationen kan göra. Låt oss säga att du har en applikation som använder "root"-användaren. Då kan en SQL-injection visa ditt data, radera ditt data, skriva fil till filsystemet som samma användare som mysql körs, och sist men inte minst göra din mysql-server totalt obrukbar.

Ett bra sätt är ju att alltid tillåta endast maximalt nödvändiga rättigheter. Exempelvis om du har en applikation som består av en vanlig webbsida och ett CMS. Då är det bra ifall den db-användaren som används för att presentera webbsidan endast har läsrättigheter till databasen, medans db-användaren som används i CMS-et måste också ha skrivrättigheter.

Generellt sett används SQL-injections för att ta reda på användarnamn och lösenord till olika delar av webbsiten eller ändra innehåll.

...coh som en extra precaution så ska din första användare i din tabell ha 0 (noll/inga/zip/zilch/nada) rättigheter i ditt system då många injections helt enkelt plockar fram första bästa användare i ditt system (oftast den första raden i din tabell).

ja.. otroligt många logins som man kan skriva följande som pass :

vadsomhelst' OR '1' = '1

Citat:

Originally posted by Jonas@Jun 4 2006, 23:22
Alla numeriska värden skall du låta gå igenom en intval() alt. floatval().
Alla strängar skall du låta gå igenom mysql_escape_string().
Numeriska värden behöver inte runt sig, utan bara strängar.

Använd mysql_real_escape_string(sträng) istället. Har du inloggning av något slag (antingen för användare eller dig själv i något admin-gränssnitt) så bör du även envägskryptera lösenorden.

PHP PDO extension med prepared statements är också ett alternativ för att minimera SQL-injektioner <http://www.php.net/manual/en/function.pdo-prepare.php>

Citat:

Originally posted by Staffconsulting@Jun 5 2006, 14:40
ja.. otroligt många logins som man kan skriva följande som pass :

vadsomhelst' OR '1' = '1

Du glömde -- efter din injection ;)

Henkealf, bra att du är medveten om detta redan innan.

Citat:

vadsomhelst' OR '1' = '1

Jag har själv gjort såna här "tavlor" för några av mina freeware script

http://www.securiteam.com/windowsntf...DP0N1F6AW.html

En sak till kan man tänka på förutom de som nämns ovan.
Det första är att ha en bra errortrap, alltså att man inte tillåter mysql att kräkas upp felmeddelanden på användarens skärm, utan istället presenterar en neutral tex av typen " det blev fel, varsågod och försök igen" och redirekta till en neutral sida. felmeddelanden är injektörens bästa hjälp att gå vidare i attacken.

elprisguiden har mycket rätt där, och när du ändå gör en errortrap se till att logga den till en fil vilken inte är läsbar från webben så du själv kan gå och felsöka din applikation om användare klagar på att de inte kan använda nån funktion.

Lite OT men ni som kör accessdatabaser eller include filer.. tänk på att användarna inte ska kunna ladda ner filerna..

tex genom att skriva http://dinsida.se/db/db.mdb eller liknande...