Anti SQL Injection

[ˏ˖→»[ற4ЯCø]«←˖ˏ™]

Hallo,

mal ein kleiner Anti SQL Injection code.

PHP Code:

$array = array("'", "union", "select", "<script>", "alert", "order", "../", "/etc/passwd", "c99", "/etc/shadow", "substr"); 

foreach ($_REQUEST as $req) 
{ 
    foreach ($array as $arr) 
    { 
        if (preg_match("/".$arr."/i", $req) == true) 
        { 
            die("SQL Injection blocked!"); 
        } 
    } 
} 


MfG

[dowhile]

Schwachsinn.

[マルコ]

OK. Nein. Das ist der schlechteste Schutz, den ich je gesehen hab^^
- unperformant
- blockiert nur die gegebenen Zeichenketten
- blockiert Zeichenketten, die die gegebenen Zeichenketten enthalten

Ich schlage einfaches escapen vor. oder noch besser die Verwendung von Prepared Statements (siehe z.B. PDO)

[Jay Niize]

Kommt hier rein :

Zumal gibt es mehrere SQL-Injections als diese in deinem Array.

Benutze lieber das hier :

Quote:

Originally Posted by Che​

Code:

array_walk($_GET, create_function('&$value', 'return $value=htmlspecialchars(mysql_escape_string($value));'));
array_walk($_POST, create_function('&$value', 'return $value=htmlspecialchars(mysql_escape_string($value));'));

Nettes Snippet um PHP Scripte allgemein deutlich sicherer zu machen. Im Grunde genommen nimmt man so (sofern geschickt im Haupt-Script eingebaut) ganz bequem jeglichen Nutzern sämtliche Möglichkeiten XSS- oder SQLi-Attacken durchzuführen.

~Grüße

[XxharCs]

Wenn wir schon dabei sind:

Ein PHP-Script nie absterben lassen^^(die() )
Wenn du abbrichst, dann mit exit oder return

[tolio]

Quote:

Originally Posted by XxharCs

Wenn wir schon dabei sind:

Ein PHP-Script nie absterben lassen^^(die() )
Wenn du abbrichst, dann mit exit oder return

Wenn wir grad dabei sind:

Quote:

There's no difference - they are the same.

Quote:

Quote:

[XxharCs]

Quote:

Originally Posted by tolio

Wenn wir grad dabei sind:

Quote:

Jeder Professionelle PHP-Programmierer wird dir von die() abraten.
Bei einem die() ist das Exception, Warning, Error Handling einfach nur grauslich. (Außer man verwendet ein @ vor der ganzen Funktion, was widderum grauslich ist)

Mit einem die() kannst du nicht alle Errors loggen, auffagen usw. und sowas ist eine schöne Information für einen Angreifer wenn er das meiste mitlesen kann.

Quote:

Originally Posted by Aus mehreren PHP Programmierer - Blogs&Forums

• It's not a very nice way to present the user with an error message.
• Using for instance the mysql_error() call with it, as many people do, exposes information that should never get output in a production environment (see: PHP Security)
• You cannot catch the error in any way.
• You cannot log the error.
• You cannot control whether it should be output to the screen or not. It's okay to do that in a development environment, but certainly not in a production environment.
• It prevents you from doing any sort of cleanup. It just ends the script abruptly.

Bei einem exit() kannst du Errors loggen, mit einem Errorcode das script beenden und du gibst nicht so leicht Info an einen Angreifer.

Außerdem steht in meinem Post noch return.
In der Produktion sollte man return und exit bevorzugen als ein Script mit allem drum und dran absterben zu lassen(die)


Aber dies kann zu einer endlosen Diskussion eskalieren, da jeder hier eine andere Meinung haben wird.
Deswegen der Post von:

Quote:

Originally Posted by .Zeraki'

Kommt hier rein :

Zumal gibt es mehrere SQL-Injections als diese in deinem Array.

Benutze lieber das hier :

Zitat:
Zitat von Che​
Code:

Quote:

Nettes Snippet um PHP Scripte allgemein deutlich sicherer zu machen. Im Grunde genommen nimmt man so (sofern geschickt im Haupt-Script eingebaut) ganz bequem jeglichen Nutzern sämtliche Möglichkeiten XSS- oder SQLi-Attacken durchzuführen.


~Grüße

[MrSm!th]

Was ist daran nicht zu verstehen, dass exit und die Synonyme sind?


Btw. Das Snippet von Che ist auch nicht viel besser.

#closed