sql injection mogelijk?
De pagina's worden nu aangeroepen met bijv: www.mysite.com?id=2.
In dit geval zijn het alleen getallen, maar bij veel andere sites zie ik ook gewoon woorden.
Maar nu de uiteindelijke vraag.
Als ik dus nu de kijk of id een getal is en dan met sql de datbase uitlees is dan nog sql injection mogelijk?
Als je niet alleen nummerieke getallen wilt gebruiken moet je mysql_real_escape_string() over je $id halen als je daarmee wat uit je database haalt.
Beetje raar dat je alle pagina's in een db zet en daarna weeruit haalt om er een ID van te maken. Dit kan ook met een gewoon case scriptje.
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
//Toegestane paginas in array.
$allow_pages = array('home','page1','page2','page3','page4','page5');
//Kijken of de GET bestaat, en of ie in de array zit.
if(isset($_GET['page']) && in_array($_GET['page'],$allow_pages)){
//Kijken of de file ook echt bestaat.
if(file_exists("submap/".$_GET['page'].".php")){
//Pagina includen
include("submap/".$_GET['page'].".php");
}else{
//Home pagina includen
include("home.php");
}
}else{
//Home pagina includen
include("home.php");
}
?>
//Toegestane paginas in array.
$allow_pages = array('home','page1','page2','page3','page4','page5');
//Kijken of de GET bestaat, en of ie in de array zit.
if(isset($_GET['page']) && in_array($_GET['page'],$allow_pages)){
//Kijken of de file ook echt bestaat.
if(file_exists("submap/".$_GET['page'].".php")){
//Pagina includen
include("submap/".$_GET['page'].".php");
}else{
//Home pagina includen
include("home.php");
}
}else{
//Home pagina includen
include("home.php");
}
?>
Gewijzigd op 01/01/1970 01:00:00 door Jelle Posthuma
(php5 code)
if( isset($_GET['var']) {
if( is_numeric($_GET['var']) {
$var = $_GET['var'];
str_ireplace("DELETE","",$var);
str_ireplace("DROP","",$var);
str_ireplace("ALTER","",$var);
str_ireplace("GRANT","",$var);
str_ireplace("MODIFY","",$var);
str_ireplace("INSERT","",$var;
str_ireplace(";","",$var);
$QUERY = "SELECT x FROM y WHERE pageID='$var'";
}
}
Deze code zou je moeten beschermen tegen injecties. Tevens stript hij ook elk keyword nog eens uit je offset in de SQL
Arne De Herdt schreef op 15.12.2006 09:33:
als je zeker wil zijn tegen SQL-injectie bouw je code dan zo op:
(php5 code)
if( isset($_GET['var']) {
if( is_numeric($_GET['var']) {
$var = $_GET['var'];
str_ireplace("DELETE","",$var);
str_ireplace("DROP","",$var);
str_ireplace("ALTER","",$var);
str_ireplace("GRANT","",$var);
str_ireplace("MODIFY","",$var);
str_ireplace("INSERT","",$var;
str_ireplace(";","",$var);
$QUERY = "SELECT x FROM y WHERE pageID='$var'";
}
}
Deze code zou je moeten beschermen tegen injecties. Tevens stript hij ook elk keyword nog eens uit je offset in de SQL
(php5 code)
if( isset($_GET['var']) {
if( is_numeric($_GET['var']) {
$var = $_GET['var'];
str_ireplace("DELETE","",$var);
str_ireplace("DROP","",$var);
str_ireplace("ALTER","",$var);
str_ireplace("GRANT","",$var);
str_ireplace("MODIFY","",$var);
str_ireplace("INSERT","",$var;
str_ireplace(";","",$var);
$QUERY = "SELECT x FROM y WHERE pageID='$var'";
}
}
Deze code zou je moeten beschermen tegen injecties. Tevens stript hij ook elk keyword nog eens uit je offset in de SQL
als je gewoon mysql_real_escape_string() gebruikt is het niet nodig om die woorden DELETE, DROP etc eruit te vissen. en dat is niet waterdicht. Zie tutorials over Mysql Injection.
Kortom, een zinloos stukje code waar nooit iets zinvols mee wordt gedaan.
Overigens kun je beter ctype_digit() gebruiken i.p.v. is_numeric(), zie de handleiding voor de verschillen.
Edit: Waar zouden we zijn zonder Jan?
Gewijzigd op 01/01/1970 01:00:00 door Frank -
Maar je hebt natuurlijk volkomen gelijk, het is met 1 m.
:)
Gewijzigd op 01/01/1970 01:00:00 door Jurgen assaasas
Maar als ik dan bijvoorbeeld toch met tekst wil zoals www.mysite.com?id=formular is dan mysql_real_escape_string() safe?
Gewijzigd op 01/01/1970 01:00:00 door Robert -
Arne De Herdt schreef op 15.12.2006 09:33:
als je zeker wil zijn tegen SQL-injectie bouw je code dan zo op:
(php5 code)
if( isset($_GET['var']) {
if( is_numeric($_GET['var']) {
$var = $_GET['var'];
str_ireplace("DELETE","",$var);
str_ireplace("DROP","",$var);
str_ireplace("ALTER","",$var);
str_ireplace("GRANT","",$var);
str_ireplace("MODIFY","",$var);
str_ireplace("INSERT","",$var;
str_ireplace(";","",$var);
$QUERY = "SELECT x FROM y WHERE pageID='$var'";
}
}
Deze code zou je moeten beschermen tegen injecties. Tevens stript hij ook elk keyword nog eens uit je offset in de SQL
(php5 code)
if( isset($_GET['var']) {
if( is_numeric($_GET['var']) {
$var = $_GET['var'];
str_ireplace("DELETE","",$var);
str_ireplace("DROP","",$var);
str_ireplace("ALTER","",$var);
str_ireplace("GRANT","",$var);
str_ireplace("MODIFY","",$var);
str_ireplace("INSERT","",$var;
str_ireplace(";","",$var);
$QUERY = "SELECT x FROM y WHERE pageID='$var'";
}
}
Deze code zou je moeten beschermen tegen injecties. Tevens stript hij ook elk keyword nog eens uit je offset in de SQL
Dat is echt on nodig!
Maar weer ontopic:
Als je met bijvoorbeeld is_numeric() checkt of iets een getal is, dan kan het alleen een getal zijn, en is er dus geen gevaar.
Kijk anders deze eventjes door: http://www.phphulp.nl/php/tutorials/3/444/
Omdat is_numeric() ook waarden in de min accepteert, wat nou niet echt de bedoeling kan zijn.
Andries Louw W. schreef op 15.12.2006 19:04:
Ik prefereer ctype_digit() ver boven is_numeric().
Omdat is_numeric() ook waarden in de min accepteert, wat nou niet echt de bedoeling kan zijn.
Omdat is_numeric() ook waarden in de min accepteert, wat nou niet echt de bedoeling kan zijn.
Heb je gelijk in, maar voor dit script is is_numeric ook genoeg denk ik.