Formular Sicherheit

11/29/2014 13:09 lnqlorlouz#1

Hey,

hab eine kleine Frage. Ich komme gerade nicht drauf, wie ich das nochmal beheben kann.
Ich habe ein Formular und speichere die Eintr�ge so:

PHP Code:


			
$username = $_POST['username'];

mysqli_real_escape_string($username);

$message = $_POST['message'];

mysqli_real_escape_string($message);

date_default_timezone_set('Europe/Berlin');

$timestamp = time(); 

// $date = date("d.m.Y - H:i",$timestamp);



$sql = "INSERT INTO test (username, message, date)

VALUES ('$username', '$message', '$timestamp');";

1. Bringt mir das mysqli_real_escape_string an der Stelle etwas?
2. Wenn ein User bzw. Ich als Tester das hier eingebe:

HTML Code:

<meta http-equiv="refresh" content="5; URL=http://de.selfhtml.org/">

und ich gebe das Formular aus, auf meine Seite, dann wird man weitergeleitet auf die selfhtml.org Seite. Wie kann ich solche Befehle unn�tzlich machen bzw. das es die erst gar nicht eintr�gt?

Und ja ich wei� ich kann da noch mehr absichern, trim, if(empty) etc, kommt noch.

Gr��e :p

11/29/2014 13:23 NotEnoughForYou#2

So wie du es momentan hast nicht. W�rdest du schreiben:

PHP Code:


			
$message = mysqli_real_escape_string($_POST['message']);

dann schon. Denn so wie du es jetzt hast wird deine escapte Expression nirgends gespeichert und auch nicht �bergeben.

Alternativ kannst du auch die prepare Funktion von mysqli nutzen, oder auf PDO umsteigen und dort die prepare Funktion nutzen.

Bez�glich der Weiterleitung:
Solche Dinge (xss-L�cken) lassen sich beispielsweise �ber htmlspecialchars / htmlentities o.� umgehen. Nat�rlich kannst du dir auch dein eigenes Pattern schreiben und dann die Eingaben pr�fen.

11/29/2014 13:29 lnqlorlouz#3

Hab ich mir doch fast gedacht, dass das so nicht gehen kann.

Stimmt! Htmlentities und htmlspecialchars hatte ich vor einer Weile mal benutzt, wusste aber nicht mehr wie die Begriffe hei�en.

Danke!

12/04/2014 17:38 RecK#4

Stopp! HTMLEntities sind HTML-Elemente.
Das hat im Groben erstmal nichts mit mysql_escape zu tun.
Das eine (mysqll_escape) dient zur Pr�ventation von SQL-Injection.
Ein Beispiel daf�r:
Du nimmst eine ID via GET-Parameter entgegen. Nun kann ich,
wenn du die ID ohne mysql_escape in das WHERE schmei�t SQL dazu packen.
Beispiel (statt id=1 dann id=1 OR name!='') so nun kriege ich nicht ide Benutzer mit der ID,
sondern mit der ID oder wo der Name nicht leer ist ... Denke das brauch man nicht
weiterf�hren und es ist klar, das sowas ssehr gef�hrlich ist, besonders
wenn Fehlermeldungen auf der Seite angezeigt werden (Connection fails, ..)

HTMLEntities wiederum escaped JavaScript-Tags und unerlaubte HTML-Elemente.
Das ist gef�hrlich, wenn ich in ein G�stebuch JavaScript einbinde, beispiel:
<script>window.location.href="b�se seiite.de";</script>
Wenn der Eintrag so in die Datenbank kommt, werden alle Benutzer nun auf eine Seite
kommen, worauf meine Umleitung per JavaScript referenziert..Gaanz b�se! :)
So werden auch Portscans auf Webseiten untergebracht usw.

Sehr wichtig und das eine ersetzt niemals das andere.
In PHP5 �bernehmen die filter_input Funktionen glaube den Aufruf beider Funktionen.

Wie bereits gesagt gibt mysql_escpae einen String zur�ck,
der gespeichert und verwendet werden muss :)
Wenn du PHP>5.2 bist solltest du nicht mehr $_POST verwenden!

lg, Tim

12/04/2014 18:27 lnqlorlouz#5

Quote:

Originally Posted by RecK

[...]

Alles klar. Das mit dem SQL-Injections kenne ich bereits. Hab das nun auch gut gel�st bekommen:
insert.php

PHP Code:


			
$message = mysqli_real_escape_string($conn, $_POST['message']);

$message = trim($message);

if (empty($message)) {

die (''.header("Location: formular.php?info=forgotmessage").'');}

$message = htmlspecialchars($message);

Jetzt ist es nicht mehr m�glich (ich hab's probiert und denke es), eine Weiterleitung zu machen. Eine SQL-Injection ist ebenso nicht m�glich, da escaped wird. Vielleicht hast du ja noch Tipps, schneller, besser? :)

Habe mein Formular per HTML, nicht per Java geschrieben. Java bin ich noch nicht gro� angegangen, nur grob.

12/04/2014 18:28 Mikesch01#6

Quote:

Originally Posted by RecK

Wie bereits gesagt gibt mysql_escpae einen String zur�ck,
der gespeichert und verwendet werden muss :)
Wenn du PHP>5.2 bist solltest du nicht mehr $_POST verwenden!

Warum sollte er das denn nicht mehr verwenden?!

PDO ist die Zukunft und erleichtert dem Programmmierer die Arbeit, etliche Sicherheitsprobleme von selbst zu l�sen.

12/04/2014 18:40 NotEnoughForYou#7

Quote:

Originally Posted by RecK

Stopp! HTMLEntities sind HTML-Elemente.
Das hat im Groben erstmal nichts mit mysql_escape zu tun.
Das eine (mysqll_escape) dient zur Pr�ventation von SQL-Injection.
Ein Beispiel daf�r:
Du nimmst eine ID via GET-Parameter entgegen. Nun kann ich,
wenn du die ID ohne mysql_escape in das WHERE schmei�t SQL dazu packen.
Beispiel (statt id=1 dann id=1 OR name!='') so nun kriege ich nicht ide Benutzer mit der ID,
sondern mit der ID oder wo der Name nicht leer ist ... Denke das brauch man nicht
weiterf�hren und es ist klar, das sowas ssehr gef�hrlich ist, besonders
wenn Fehlermeldungen auf der Seite angezeigt werden (Connection fails, ..)

HTMLEntities wiederum escaped JavaScript-Tags und unerlaubte HTML-Elemente.
Das ist gef�hrlich, wenn ich in ein G�stebuch JavaScript einbinde, beispiel:
<script>window.location.href="b�se seiite.de";</script>
Wenn der Eintrag so in die Datenbank kommt, werden alle Benutzer nun auf eine Seite
kommen, worauf meine Umleitung per JavaScript referenziert..Gaanz b�se! :)
So werden auch Portscans auf Webseiten untergebracht usw.

Sehr wichtig und das eine ersetzt niemals das andere.
In PHP5 �bernehmen die filter_input Funktionen glaube den Aufruf beider Funktionen.

Wie bereits gesagt gibt mysql_escpae einen String zur�ck,
der gespeichert und verwendet werden muss :)
Wenn du PHP>5.2 bist solltest du nicht mehr $_POST verwenden!

lg, Tim

Es wurde doch auch nicht behauptet, dass htmlentities was mit sql injection zu tun h�tten?

12/04/2014 19:57 RecK#8

Quote:

Originally Posted by NotEnoughForYou

Es wurde doch auch nicht behauptet, dass htmlentities was mit sql injection zu tun h�tten?

Sorry hatte das in Klammern (xss-L�cke) nicht gelesen und dachte du beziehst dich mit htmlentities auf mysql_escape und dessen Nutzung beziehst :D Mein Fehler!

Und bei $_POST geht es auch nicht um PDO oder sonstige Treiber,
sondern um die PHP super-globals die seit PHP5.2+ nicht mehr direkt angesprochen werden sollen, sondern filter_input erwendet werden. Diese Funktion �bernimmt direkt wieder Arbeit f�r den Programmier und hat nichts mit PDO zu tun. Das gilt auch f�r Cookies, GET, Request, Server -globals ...

12/04/2014 20:34 Mikesch01#9

Meine Frage sollte eigentlich eigenst�ndig sein^^

Wollte das mit PDO noch zus�tzlich erw�hnen.

Wo steht denn, dass man nun filter_input benutzen soll? Ich glaube kaum, dass die Global Variablen in n�chster Zeit deprecated werden.

Gru�

12/04/2014 21:04 RecK#10

Das sie als deprecated makiert werden ist sehr unwahrscheinlich.
Im Hintergrund von filter_input werden diese ja auch verwendet.
Gut ein Standard ist es nicht, jedoch bietet es PHP 5 an und daher sollte man es auch nutzen,
bzw man tut denke ich nichts falsch, wenn man PHP validieren l�sst :)

12/04/2014 22:52 lnqlorlouz#11

Quote:

Originally Posted by RecK

Das sie als deprecated makiert werden ist sehr unwahrscheinlich.
Im Hintergrund von filter_input werden diese ja auch verwendet.
Gut ein Standard ist es nicht, jedoch bietet es PHP 5 an und daher sollte man es auch nutzen,
bzw man tut denke ich nichts falsch, wenn man PHP validieren l�sst :)

Da ich das mit dem $_POST draufhabe und kaum Zeit f�r die neuen Anwendungen/Funktionen habe bzw. mich nicht gro� damit besch�ftigen will, reicht mir das was ich bisher wei� und kann. Aber das scheint eine gute Idee zu sein, sich das mal anzuschauen. Wohl nicht umsonst wurde diese - neue - Funktion implementiert. Mal schauen was ich rausholen kann und ob Sie mir zusagt. Nat�rlich wenn ich Zeit habe... :) Danke euch.