Zitat von Felix Jacobi

Da es sich eindeutig um eine Zahl handelt (bzw. handeln soll) kannst du statt:

PHP-Code:

htmlspecialchars(mysql_real_escape_string($get)) 


auch

PHP-Code:

intval($get) 


benutzen.

Sollten HTML Zeichen drin sein, würde ja deine erste Prüfung bereits false melden, da es dann kein numerischer String mehr ist.

hmm ok danke, aber auch wenn es ../../../etc/passwd als getvariable eingegeben wäre?

Wenn dieser Inhalt bei deinem Script reingeht, meldet er einen Fehler, da es kein numerische r String ist.

Selbst wenn er durchkommen würde, würde intval() daraus eine 0 machen.

Wenn es jetzt um andere Variablen geht (z. B. einen include) würde ich diese auch nur in einem Switch() benutzen. So kannst du vorgegebene Fälle eintragen, alle anderen werden auf default weitergeleitetet.

Ansonsten sollte der PHP Safe Mode bei solchen Pfäden eingreifen und eben genau soetwas verhindern.

ok danke nochmal für die Antworten Flex Jacobi

Um den Thread mal wieder ein wenig zu beleben:

addslashes versus mysql_real_escape_string
Chris Shiflett über die Probleme addslashes() als Abwehr für MySQL Injektionen (auch wenn das Szenario etwas beschränkt ist)

Und ein kurzer Blogeintrag über ein MemoryLeak in PHP

Memory Leaks With Objects in PHP 5

Danke für den Beitrag bzgl. des Memory Leaks - sehr interessant.

Hallo,

ich habe mal eine Frage:
Und zwar verwende ich vor dem Einfuegen einer Variable in die Query einer DB-Abfrage die Funktion strip_tags()

PHP-Code:

$var = strip_tags($_GET['var']); 


Ist das ein ausreichender Schutz vor SQL-Injections?
Oder ist es viel besser eine solche Funktion (siehe unten), wie vorher in diesem Thread schon erwähnt, zu nutzen:

PHP-Code:

// Variablen absichern
function quote_smart($value)
{
   // Ueberfluessige Maskierungen entfernen
   if (get_magic_quotes_gpc()) {
       $value = stripslashes($value);
   }
   // In Anfuehrungszeichen setzen, sofern keine Zahl
   // oder ein numerischer String vorliegt
   if (!is_numeric($value)) {
       $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
} 


Wahrscheinlich ist es schon besser diese Funktion zu nutzen.
Oder reicht eigentlich die strip_tags()-Funktion aus um einen vernuenftigen Schutz zu schaffen?
Danke schonmal!

strip_tags() bietet keinerlei Schutz vor SQL-Injections. Vor XSS (Cross-Site-Scripting) schon eher, aber nicht vor SQL-Injections. Dafuer gibt es Funktionen wie z.B. mysql_real_escape_string().

Zitat von Dennis Wronka

strip_tags() bietet keinerlei Schutz vor SQL-Injections. Vor XSS (Cross-Site-Scripting) schon eher, aber nicht vor SQL-Injections. Dafuer gibt es Funktionen wie z.B. mysql_real_escape_string().

Oh oh...
Gut, dass ich nachgefragt habe. Werde dann mal die oben gepostete Funktion in meine Scripte einbauen.

Dieser Thread ist uebrigens eine super Sache!

Ich möchte noch einmal darauf hinweisen, dass dieser Thread nicht für Fragen sondern für Antworten gedacht ist.

Zitat von Dennis Wronka

Wofuer ist dieser Thread nicht gedacht:

• Fragen ob ein Script sicher ist
  Wir wollen hier eher allgemein zum Thema Sicherheit in PHP diskutieren und nicht auf spezielle Scripts eingehen. Natuerlich wollen wir hier auch Code-Beispiele sehen, aber eben nicht, dass jemand sein Script (oder einen Ausschnitt) postet und fragt ob der Code sicher ist.

Zitat von Gumbo

Ich möchte noch einmal darauf hinweisen, dass dieser Thread nicht für Fragen sondern für Antworten gedacht ist.

Ich denke aber, dass ohne Fragen auch keine Antworten gegeben werden können.
Schließlich soll der Thread ja helfen auf dem Gebiet der Sicherheit etwas dazu zu lernen. Ich habe ja auch nicht mein Script gepostet, sondern eine recht grundelegende Frage zu zwei Funktionen gestellt.
Aber das nächste Mal öffne ich auch gern einen eigenen Thread dafür.

Zwar nicht speziell auf PHP bezogen, dennoch vllt für den ein oder anderen interessant, heute bei http://entwickler-press.de/ ein kosenloses EBook mit dem Thema "Sicherere Webanwendungen" downloadbar.

http://koandagfx.de/index.php?action...20GUT%3C/h1%3E

Das ist meine Seite...
Und den Link hat ein User gepostet...
Wie hat er das gemacht?
Auzug aus der Datei...

PHP-Code:

if(mysql_num_rows($query))
{
    while($row = mysql_fetch_assoc($query)) {
        echo "<div class='div_title' align='center'>" . $row['header'] . "</div>";
        echo "<div class='div_content' align='center'>" . $row['content'] . "<br /><br />geschrieben am: " . $row['date'] . "</div>";
        }
} else {
    die ("Keine Daten in der Tabelle.");
} 


Die Sicherheitslücke liegt in dem Bereich, wo die $_GET Variable "action" verarbeitet wird. Diesen Auszug bräuchten wir.

PHP-Code:

switch($_GET['action']){ 


PHP-Code:

default: require("inc/news.php"); break;
} 


Mh stimmt sieht recht unsicher aus.
Aber was kann ich da machen?
Wenn ich mich recht entsinne gibts eine Funktion, komme aber nicht drauf.

Das ist nicht wirklich der gesuchte Teil, denn ein nicht vorhandener Fall wird durch das default abgefangen.

Vielmehr müsste in irgendeiner Datei sowas stehen, wie:
echo $_GET['action'];, was dazu führt, dass die Requestvariable einfach ausgegeben wird. Besser ist da schon echo htmlentities($_GET['action']); (htmlentities(), htmlspecialchars()), aber auch recht unsauber, da der Nutzer immer noch Daten einbringen kann, die so nicht eingebunden werden sollten.

Kann es sein, dass die Überschrift der Sektion auch durch das entsprechende GET-Feld produziert wird? Ganz unsauber!
Alles so statisch wie möglich und so dynamisch wie nötig machen, dann sollten solche Unfeinheiten nicht mehr auftreten. Ein Beispiel könnte sein:

Modul einbinden

PHP-Code:

<?php
switch ( $_GET['action'] ) {
    case "news":
        $title = "Neuigkeiten";
        include "News.php";
        break;
    case "somewhat":
        $title = "Was anderes";
    // ...
    default:
        $title = "N/A";
        include "Default.php";
        break;
}

Ausgabe - Rahmentemplate

PHP-Code:

<?php
echo $title;
// ...