koliko je ovo bezbedno?

[ darence @ 11.07.2008. 20:30 ] @

koliko je ovako nesto bezbedno po pitanju mysql injectiona ?

Code:

$check = mysql_query("SELECT * FROM korisnici WHERE username = '".$_POST['username']."'")or die(mysql_error());

//greska ako korisnik ne postoji
$check2 = mysql_num_rows($check);
if ($check2 == 0) {
die('Taj korisnik ne postoji u nasoj bazi.<a href=registracija.php>Kliknite ovde da biste se registrovali</a>');
}
while($info = mysql_fetch_array( $check ))
{
$_POST['pass'] = stripslashes($_POST['pass']);
$info['password'] = stripslashes($info['password']);

//ako je losa lozinka...
if ($_POST['pass'] != $info['password']) {
die('Pogesna lozinka. Pokusajte opet.');
}

ako ne valja, kako da sredim?

[ Nemanja Avramović @ 11.07.2008. 21:03 ] @

Kod ti nije dobar, a kako da ga središ? Tako što ćeš da ispraviš greške u kodiranju (kontrolisanjem podataka koje unose korisnici, "eskejpovanjem" promenljivih). Već je bilo reči o MySQL injectionu na ovom forumu, pretraži forum pa ćeš naći objašnjenja.

1. http://www.elitesecurity.org/t235672-Sigurnost-phpa-mysql
2. http://www.elitesecurity.org/t...ySQL-provjeri-ulaznih-podataka
3. http://www.elitesecurity.org/t...on-ili-SQL-injection-sta-je-to

[ darence @ 11.07.2008. 22:19 ] @

evo naleteo sam na ovu f-ju

Code:
function secure_sql($value)
{
if( get_magic_quotes_gpc() )
{
$value = stripslashes( $value );
}
//check if this function exists
if( function_exists( "mysql_real_escape_string" ) )
{
$value = mysql_real_escape_string( $value );
} else {
//for PHP version < 4.3.0 use addslashes
$value = addslashes( $value );
}
return $value;
}

ali nikako da skripta proradi sa njom :( prijavljuje gresku u sql sintaksi

[ Man-Wolf @ 11.07.2008. 23:01 ] @

Evo ja odmah da ti objasnim kako bi se napravio injection za tvoj kod :-)

Code:

$check = mysql_query("SELECT * FROM korisnici WHERE username = '".$_POST['username']."'")or die(mysql_error());

Ovo $_POST['username'] ti jke najveca greska :-) Kako ja to mogu da zloupotrebim ?

Pa lako, napravim na svom kompu formu ovakvog tipa:

Code:

<form name="blabla" method="post" action="lokacija do tvoje skripte ....">
<input type="hidden" name="username" value="a; INSERT INTO users (username,pass,type) VALUES (man-wolf, blabla, ADMIN)">
<input type="button" name="submit" value="INJECT IT!!!">

Pretpostavimo da imas tabelu users, koja ima sledeca polja:

Citat:

-----USERNAME------PASS------TYPE ( user, moderator, admin )--------

Ja bi onim gore kodom u bazu uneo novog usera (mene) koji bi bio admin :-))

Nadam se da kapiras problem :-)

A resenje je da za pocetak ne koristis u query-u $_POST, vec prvo ga prebaci u neku promenljivu, onda mu uradis: mysql_escape_string, i onda procitas linkove sto ti je nemanja dao :-) A imas i u top temi, adresu nesto Secinfo, tako nesto, pa procitaj i tu o sigurnosti MySQL upita :-)

Pozz ;-)

[ darence @ 11.07.2008. 23:20 ] @

hvala, jasno mi je sta je injection ali me drugo buni. kad propustim promenljive kroz mysql_escape_string onda ne mogu da se logujem jer ne postojim kao korisnik. verovatno to treba i kod registracije, jel da? jer kad ehujem kveri onda mi username izgleda cini mi se \'username\' ili tako nesto. i normalno da ga nema u bazi. jel sam u pravu?

[ Nemanja Avramović @ 11.07.2008. 23:26 ] @

Čekaj, prvo da razjasnimo, da pitam za svaki slučaj: Šta puštaš kroz funkciju secure_sql()? Nikako nemoj ceo kveri da puštaš kroz funkciju već samo promenljive koje ulaze u sastav kverija

[ darence @ 11.07.2008. 23:36 ] @

ceo kveri :-(
ovo sto si napisao mi je palo na um bukvalno sekundu pre nego sam kliknuo da procitam post :D

hvala. a sta sa ovim sto ne mogu da se ulogujem? jel isto problem do ovoga?

[ darence @ 12.07.2008. 09:28 ] @

evo, sad je sredjeno. na svaku $_GET promenljivu i bilo koju koja ide od korisnika u kveri stavio sam $promenljiva=secure_sql($promenljiva). to sam uradio i za vrednosti iz kukija. Da li je sad dovoljno?

[ Nemanja Avramović @ 12.07.2008. 10:09 ] @

$_GET, $_COOKIE, $_POST, ... sve što dolazi od korisnika

[ darence @ 12.07.2008. 10:15 ] @

hvala na pomoci.

[ Alkaline @ 12.07.2008. 17:18 ] @

Još jedan savet, koji još niko izgleda nije dao, iako je nevezano za sigurnost:

Query ti izgleda ovako:
SELECT * FROM korisnici WHERE username...

Međutim, u tvom kodu ne vidim nigde da koristiš baš sva polja, već samo polje "password".
Iz tog razloga, najbolje je da promeniš query da izgleda ovako:

SELECT password FROM korisnici WHERE username...

Time bi smanjio potrošnju resursa servera, i dobio na brzini, itd.

Naravno, ako ti treba još polja, samo ih dodaj zarezom. Na primer:

SELECT username, password FROM korisnici WHERE username...

[ darence @ 12.07.2008. 18:08 ] @

da,da, hvala. nego u tabeli sa korisnicima nemam puno polja, tako da cenim da jedno gore-dole u query-ju nece mnogo da smeta :)

[ milosijaa @ 25.07.2008. 03:29 ] @

Citat:

Man-Wolf: Evo ja odmah da ti objasnim kako bi se napravio injection za tvoj kod :-)

Code:

$check = mysql_query("SELECT * FROM korisnici WHERE username = '".$_POST['username']."'")or die(mysql_error());

Ovo $_POST['username'] ti jke najveca greska :-) Kako ja to mogu da zloupotrebim ?

Pa lako, napravim na svom kompu formu ovakvog tipa:

Pretpostavimo da imas tabelu users, koja ima sledeca polja:

Ja bi onim gore kodom u bazu uneo novog usera (mene) koji bi bio admin :-))

Nadam se da kapiras problem :-)

A resenje je da za pocetak ne koristis u query-u $_POST, vec prvo ga prebaci u neku promenljivu, onda mu uradis: mysql_escape_string, i onda procitas linkove sto ti je nemanja dao :-) A imas i u top temi, adresu nesto Secinfo, tako nesto, pa procitaj i tu o sigurnosti MySQL upita :-)

Pozz ;-)

nema potrebe za tolikim pisanijem

dovoljno je da kao username prosledis bilo_sta_a_moze_i_nista' OR 1=1 --
i izlistace ti celu tabelu sa svim userima ;)

i naravno u ovom konkretnom slucaju korisnik ce proci validaciju

[ Man-Wolf @ 25.07.2008. 15:00 ] @

Cini mi se da je poruka upucena meni :-))

Izlistace, ali nece meni prikazati, tako da mi nista ne znaci izlistavanje :-) Zato imam siguran nacin da me ubaci kao korisnika u bazu i imam "admin" pristup :P