Sicherheit in PHP

[Felix Jacobi]

Da es sich eindeutig um eine Zahl handelt (bzw. handeln soll) kannst du statt:

PHP-Code:
htmlspecialchars(mysql_real_escape_string($get))

auch

PHP-Code:
intval($get)

benutzen.

Sollten HTML Zeichen drin sein, würde ja deine erste Prüfung bereits false melden, da es dann kein numerischer String mehr ist.

[KD3]

Zitat:

Zitat von Felix Jacobi

Da es sich eindeutig um eine Zahl handelt (bzw. handeln soll) kannst du statt:

auch

benutzen.

Sollten HTML Zeichen drin sein, würde ja deine erste Prüfung bereits false melden, da es dann kein numerischer String mehr ist.

hmm ok danke, aber auch wenn es ../../../etc/passwd als getvariable eingegeben wäre?

[Felix Jacobi]

Wenn dieser Inhalt bei deinem Script reingeht, meldet er einen Fehler, da es kein numerische r String ist.

Selbst wenn er durchkommen würde, würde intval() daraus eine 0 machen.

Wenn es jetzt um andere Variablen geht (z. B. einen include) würde ich diese auch nur in einem Switch() benutzen. So kannst du vorgegebene Fälle eintragen, alle anderen werden auf default weitergeleitetet.

Ansonsten sollte der PHP Safe Mode bei solchen Pfäden eingreifen und eben genau soetwas verhindern.

[KD3]

ok danke nochmal für die Antworten Flex Jacobi

[Felix Jacobi]

Um den Thread mal wieder ein wenig zu beleben:

addslashes versus mysql_real_escape_string
Chris Shiflett über die Probleme addslashes() als Abwehr für MySQL Injektionen (auch wenn das Szenario etwas beschränkt ist)

Und ein kurzer Blogeintrag über ein MemoryLeak in PHP

Memory Leaks With Objects in PHP 5

[bloddy newbie]

Danke für den Beitrag bzgl. des Memory Leaks - sehr interessant.

[nickiquickie]

Hallo,

ich habe mal eine Frage:
Und zwar verwende ich vor dem Einfuegen einer Variable in die Query einer DB-Abfrage die Funktion strip_tags()

PHP-Code:
$var = strip_tags($_GET['var']);

Ist das ein ausreichender Schutz vor SQL-Injections?
Oder ist es viel besser eine solche Funktion (siehe unten), wie vorher in diesem Thread schon erwähnt, zu nutzen:

PHP-Code:
// Variablen absichern function quote_smart($value) {    // Ueberfluessige Maskierungen entfernen    if (get_magic_quotes_gpc()) {        $value = stripslashes($value);    }    // In Anfuehrungszeichen setzen, sofern keine Zahl    // oder ein numerischer String vorliegt    if (!is_numeric($value)) {        $value = "'" . mysql_real_escape_string($value) . "'";    }    return $value; }

Wahrscheinlich ist es schon besser diese Funktion zu nutzen.
Oder reicht eigentlich die strip_tags()-Funktion aus um einen vernuenftigen Schutz zu schaffen?
Danke schonmal!

[Dennis Wronka]

strip_tags() bietet keinerlei Schutz vor SQL-Injections. Vor XSS (Cross-Site-Scripting) schon eher, aber nicht vor SQL-Injections. Dafuer gibt es Funktionen wie z.B. mysql_real_escape_string().

[nickiquickie]

Zitat:

Zitat von Dennis Wronka

strip_tags() bietet keinerlei Schutz vor SQL-Injections. Vor XSS (Cross-Site-Scripting) schon eher, aber nicht vor SQL-Injections. Dafuer gibt es Funktionen wie z.B. mysql_real_escape_string().

Oh oh...
Gut, dass ich nachgefragt habe. Werde dann mal die oben gepostete Funktion in meine Scripte einbauen.

Dieser Thread ist uebrigens eine super Sache!

[Gumbo]

Ich möchte noch einmal darauf hinweisen, dass dieser Thread nicht für Fragen sondern für Antworten gedacht ist.

Zitat:

Zitat von Dennis Wronka

Wofuer ist dieser Thread nicht gedacht:

• Fragen ob ein Script sicher ist
  Wir wollen hier eher allgemein zum Thema Sicherheit in PHP diskutieren und nicht auf spezielle Scripts eingehen. Natuerlich wollen wir hier auch Code-Beispiele sehen, aber eben nicht, dass jemand sein Script (oder einen Ausschnitt) postet und fragt ob der Code sicher ist.

[nickiquickie]

Zitat:

Zitat von Gumbo

Ich möchte noch einmal darauf hinweisen, dass dieser Thread nicht für Fragen sondern für Antworten gedacht ist.

Ich denke aber, dass ohne Fragen auch keine Antworten gegeben werden können.
Schließlich soll der Thread ja helfen auf dem Gebiet der Sicherheit etwas dazu zu lernen. Ich habe ja auch nicht mein Script gepostet, sondern eine recht grundelegende Frage zu zwei Funktionen gestellt.
Aber das nächste Mal öffne ich auch gern einen eigenen Thread dafür.

[versuch13]

Zwar nicht speziell auf PHP bezogen, dennoch vllt für den ein oder anderen interessant, heute bei http://entwickler-press.de/ ein kosenloses EBook mit dem Thema "Sicherere Webanwendungen" downloadbar.

[S-lord]

http://koandagfx.de/index.php?action...20GUT%3C/h1%3E

Das ist meine Seite...
Und den Link hat ein User gepostet...
Wie hat er das gemacht?
Auzug aus der Datei...

PHP-Code:
if(mysql_num_rows($query)) {     while($row = mysql_fetch_assoc($query)) {         echo "<div class='div_title' align='center'>" . $row['header'] . "</div>";         echo "<div class='div_content' align='center'>" . $row['content'] . "<br /><br />geschrieben am: " . $row['date'] . "</div>";         } } else {     die ("Keine Daten in der Tabelle."); }

[Felix Jacobi]

Die Sicherheitslücke liegt in dem Bereich, wo die $_GET Variable "action" verarbeitet wird. Diesen Auszug bräuchten wir.

[S-lord]

PHP-Code:
switch($_GET['action']){

PHP-Code:
default: require("inc/news.php"); break; }

Mh stimmt sieht recht unsicher aus.
Aber was kann ich da machen?
Wenn ich mich recht entsinne gibts eine Funktion, komme aber nicht drauf.