php und SQL-Injections

Beitrag von **S2B** » 12.12.2005 14:53

Moin,
ich hätte mal eine Frage in Sachen PHP und Sicherheit bei SQL-Queries.

Bei phpBB soll ja (nach diesem Thread) das verwendet werden, um SQL-Injections vorzubeugen:

Code: Alles auswählen

// für POST/GET-Variablen:
str_replace("\'", "''", $variable_name);
// für alles andere:
str_replace("'", "''", $variable_name);

Wie sieht das bei normalen PHP-Scripts aus? Reicht es aus, wenn man die Werte durch mysql_real_escape_string() bzw. bei Zahlen durch intval() jagt oder kann es da trotzdem noch zu Problemen kommen?

fanrpg · Beitrag von **fanrpg** » 12.12.2005 15:31

mysql_escape_string, intval reicht völlig aus. Aber das benutz ich nie ich mache immer:

Code: Alles auswählen

$inhalt = $_POST['sql_injection'];
$inhalt = stripslashes($inhalt);
$inhalt = str_replace("\\", "\\\\", $inhalt);
$inhalt = str_replace("'", "\'", $inhalt);

Nichts anderes mach mysql_escape_string().

Beitrag von **S2B** » 12.12.2005 15:37

OK, alles klar, danke für die Antwort.

Martin Truckenbrodt · Beitrag von **Martin Truckenbrodt** » 12.12.2005 16:09

Hallo,
durch den DBAL des phpBB lassen sich nicht alle Funktion jedes einzelnen unterstützten Datenbanksystems nutzen. Man "muß" also mit einem gemeinsamen Nenner arbeiten.

Gruß Martin

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 13.12.2005 00:39

Ahoi,

würde das Folgende funktionieren?

$post_subject = mysql_real_escape_string($post_subject);
$post_text = mysql_real_escape_string($post_text);

$INS_posts_text = "INSERT INTO ".POSTS_TEXT_TABLE." (post_id, bbcode_uid, post_subject, post_text) VALUES ('$post_id', '$bbcode_uid', '$post_subject', '$post_text')";

mysql_query($INS_posts_text) or die("Leider ist ein Fehler aufgetreten.");

Stripslashes habe ich zusätzlich im Einsatz. Intval werde ich mir auch näher ansehen.

LG, IPB_Flüchtling

LeoManiac · Beitrag von **LeoManiac** » 13.12.2005 11:45

fanrpg hat geschrieben:mysql_escape_string, intval reicht völlig aus. Aber das benutz ich nie ich mache immer:
Code: Alles auswählen
$inhalt = $_POST['sql_injection'];
$inhalt = stripslashes($inhalt);
$inhalt = str_replace("\", "\\\", $inhalt);
$inhalt = str_replace("'", "\'", $inhalt);
Nichts anderes mach mysql_escape_string().

mysql_real_escape_string wäre sinnvoller als mysql_escape_string da es noch etwas mehr escaped

ps: warum so viel Aufwand wenn mysql_real_escape_string das gleiche bringt? ist doch unnötig

fanrpg · Beitrag von **fanrpg** » 13.12.2005 15:05

LeoManiac hat geschrieben:ps: warum so viel Aufwand wenn mysql_real_escape_string das gleiche bringt? ist doch unnötig

Was ist wenn jemand nicht mysql verwendet?
Dann ist das schon sehr nützlich.

LeoManiac · Beitrag von **LeoManiac** » 13.12.2005 15:30

da die MySQL Extension zum standart bei PHP gehört und die Funktion im großen u. ganzen das was du da in 3 Zeilen machst - und noch mehr - in einer Funktion zusammenfasst

mal davon abgesehen hat man doch so wieso in ner einigermaßen guten Datenbankklasse sowas wie ne prepare Funktion die SQL Statements vorbereitet

Code: Alles auswählen

<?php
/**    Bereitet einen SQL Befehl durch escapen der Benutzereingaben sicher vor um SQL Inejctions zu vermeiden
     *    @param string $SQL Ein SQL Statement
     *     @param array $secure_values Werte die für das Query vorbereitet werden sollen
     *    @exception MySQLException Verarbeitungsfehler
     *    @exception MySQLPrepareException Vorbereitungsfehler
     */
    public function prepare($SQL, $secure_values)
    {
        if (!is_array($secure_values))
            throw new MySQLException("param not an array");
            
        if (!preg_match("/\?/", $SQL))
            throw new MySQLPrepareException("no placeholder found");
        
        $this->secure_values_fifo = $secure_values;
        
        $this->prepared_string = preg_replace_callback("/\?/", array($this, "replace_secure_values_callback"), $SQL); 
        
        $this->secure_values_fifo = NULL;           
    }
    
    /**    Callback-Function die die Function prepare für jedes Element im Werte-Array aufrufen lässt
     *    @param array $treffer ist nötig, aber vollkommen unwichtig
     *    @exception MySQLPrepareException Vorbereitungsfehler
     */
    protected function replace_secure_values_callback($treffer)
    {
        if (count($this->secure_values_fifo) < 1)
            throw new MySQLPrepareException("not enough secure values");
            
        return mysql_real_escape_string(array_shift($this->secure_values_fifo));
    }
?>

und wenn dann noch davon ausgehen sollte das man mehrere Datenbank benutzen will/kann/möchte dann sollten sowieso die Klassen alle gleichnamige Methoden haben damit man das dann für jede Datenbank seperat handlen kann aber in 95% aller Fälle wird wohl immer ne MySQL im Spiel sein.

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 13.12.2005 20:40

Hallo,

noch einmal die Frage: Ist die Syntax des Folgenden korrekt?

$post_subject = mysql_real_escape_string($post_subject);
$post_text = mysql_real_escape_string($post_text);

$INS_posts_text = "INSERT INTO ".POSTS_TEXT_TABLE." (post_id, bbcode_uid, post_subject, post_text) VALUES ('$post_id', '$bbcode_uid', '$post_subject', '$post_text')";

mysql_query($INS_posts_text) or die("Leider ist ein Fehler aufgetreten.");

Bitte um Auskunft, ob man das so machen kann. Oder müsste ich das mysql_real_escape_string irgendwie in die mit $INS_posts_text beginnende Zeile einbauen?

LG, IPB_Flüchtling

LeoManiac · Beitrag von **LeoManiac** » 14.12.2005 08:28

nö ist ok so

aber bastel dir lieber ne Klasse mit ner Funktion die das automatich übernimmt ist doch sonst unnötig viel code