[henkealf]

Jag håller på att bygga en fiskesajt som ska lagra inte särskilt känsliga uppgifter i en MySQL-databas. Det här med SQL injections vill jag minnas kan ställa till både det ena och det andra i mySQL-databaser, och därför undrar jag nu;
Hur genomförs en SQL injection, kan en bandit lägga till SQL-kod i mitt inmatningsformulär som sedan ställer till besvär i databasen?
Vad kan SQL-injektioner ställa till med, kan de bara radera och förstöra eller även ta fram databasuppgifter åt banditen?
Finns det något idiotsäkert sätt att skydda sig mot sådana? T ex begränsa antalet tecken i inmatningsformuläret, göra om alla " till \", eller något annat?

Tack!

/Henke

[tydal]

När det gäller Mysql ska du ha ' (apostrofer) runt alla värden du skickar till databasen. Vad det gäller data som kommer in utifrån (alla variabler som du inte definierar i ditt skript) så ska du byta ut alla ' mot \'

Det vanligaste man brukar kunna göra med SQL injection är att logga in som vem om helst utan lösenord och att hämta information på egen hand ur databasen.

[Jonas]

Alla numeriska värden skall du låta gå igenom en intval() alt. floatval().
Alla strängar skall du låta gå igenom mysql_escape_string().

Numeriska värden behöver inte ' ' runt sig, utan bara strängar.

[bivald]

Om du kör PHP kan du med fördel använda följande exempel (hämtad från http://se2.php.net/manual/en/functio...ape-string.php)

Kod:

<?php
// Quote variable to make safe
function quote_smart($value)
{
  // Stripslashes
  if (get_magic_quotes_gpc()) {
    $value = stripslashes($value);
  }
  // Quote if not a number or a numeric string
  if (!is_numeric($value)) {
    $value = "'" . mysql_real_escape_string($value) . "'";
  }
  return $value;
}

// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
  OR die(mysql_error());

// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
      quote_smart($_POST['username']),
      quote_smart($_POST['password']));

mysql_query($query);
?>

Mer teori om SQL injections hittar du på google..

[zoran]

Citat:

Originally posted by henkealf@Jun 4 2006, 22:32
Jag håller på att bygga en fiskesajt som ska lagra inte särskilt känsliga uppgifter i en MySQL-databas. Det här med SQL injections vill jag minnas kan ställa till både det ena och det andra i mySQL-databaser, och därför undrar jag nu;
Hur genomförs en SQL injection, kan en bandit lägga till SQL-kod i mitt inmatningsformulär som sedan ställer till besvär i databasen?
Vad kan SQL-injektioner ställa till med, kan de bara radera och förstöra eller även ta fram databasuppgifter åt banditen?
Finns det något idiotsäkert sätt att skydda sig mot sådana? T ex begränsa antalet tecken i inmatningsformuläret, göra om alla " till \", eller något annat?

Tack!

/Henke

SQL-injections kan ställa till med olika saker beroende på vad den konfigurerade databasanvändaren i applikationen kan göra. Låt oss säga att du har en applikation som använder "root"-användaren. Då kan en SQL-injection visa ditt data, radera ditt data, skriva fil till filsystemet som samma användare som mysql körs, och sist men inte minst göra din mysql-server totalt obrukbar.

Ett bra sätt är ju att alltid tillåta endast maximalt nödvändiga rättigheter. Exempelvis om du har en applikation som består av en vanlig webbsida och ett CMS. Då är det bra ifall den db-användaren som används för att presentera webbsidan endast har läsrättigheter till databasen, medans db-användaren som används i CMS-et måste också ha skrivrättigheter.

Generellt sett används SQL-injections för att ta reda på användarnamn och lösenord till olika delar av webbsiten eller ändra innehåll.

[Robert]

...coh som en extra precaution så ska din första användare i din tabell ha 0 (noll/inga/zip/zilch/nada) rättigheter i ditt system då många injections helt enkelt plockar fram första bästa användare i ditt system (oftast den första raden i din tabell).

[Staffconsulting]

ja.. otroligt många logins som man kan skriva följande som pass :

vadsomhelst' OR '1' = '1

[tartareandesire]

Citat:

Originally posted by Jonas@Jun 4 2006, 23:22
Alla numeriska värden skall du låta gå igenom en intval() alt. floatval().
Alla strängar skall du låta gå igenom mysql_escape_string().
Numeriska värden behöver inte runt sig, utan bara strängar.

Använd mysql_real_escape_string(sträng) istället. Har du inloggning av något slag (antingen för användare eller dig själv i något admin-gränssnitt) så bör du även envägskryptera lösenorden.

[Simon_Jansson]

PHP PDO extension med prepared statements är också ett alternativ för att minimera SQL-injektioner <http://www.php.net/manual/en/function.pdo-prepare.php>

[Robert]

Citat:

Originally posted by Staffconsulting@Jun 5 2006, 14:40
ja.. otroligt många logins som man kan skriva följande som pass :

vadsomhelst' OR '1' = '1

Du glömde -- efter din injection