sql injection engellemek

desired · 06.01.2007

merhaba herkese...

phpde geliştirmeye çalışıyorum kendimi ancak gün içinde sürekli kafama birşeyler takılıyor , bugün de kafama takılan şeyin bir isminin olduğunu ve hatta çok canlar yaktığını öğrendim. evet SQL injection i araştırdım biraz ancak üzerinde çalıştığım sistemimin siz de göreceksiniz ki SQL injectiona müsait olduğunu farkettim
ancak ne yaptıysam kendi sistemimi hack!leyemedim.
login olma kısmı şu şekilde...

Kod:

$tablo = "select * from uyeler where kuladi='$login' and sifre='$password'";

Şifre alanına abcd' or '1'='1 girerek denedim ancak sisteme giremedim. SQL injeciton olayına kendimce çözüm bulabilmem için kendim bu olayı kavramam lazım ama onu başaramadım.

SQL injeciton için stored procedure ve mysql_real_escape_string() den bahsediliyor ancak bunu login formuma nasıl uygulayacağım konusunda bir fikrim yok.

Fikir belirtirseniz sevinirim.

asilens · 06.01.2007

merhaba, istemediğin karakterleri array içine atip, sonra da sitendeki tüm $_GET ve $_POST larin içinde bunlari kontrol ederek durdurabilirsin.

örnek teşkil etmesi için:

Kod:

$gelme = array ('select', 'insert', 'delete', 'update', 'drop table', 'union', 'null', 'SELECT', 'INSERT', 'DELETE', 'UPDATE', 'DROP TABLE', 'UNION', 'NULL');
	for ($i = 0; $i < sizeof ($_GET); ++$i)
	{
		for ($j = 0; $j < sizeof ($gelme); ++$j)
		{
			if (preg_match ('/' . $gelme[$j] . '/', $_GET[key ($_GET)]))
			{
				$temp = key ($_GET);
				$_GET[$temp] = '';
				exit("SAKINNNN !!!  ");
				continue;
			}
		}

06.01.2007

peki soyle yapsak olmaz mi,

foreach($_POST as $i=>$x)
{
if(!ereg_match('\w',$x))
die('sadece a-Z 0-9 ve _ karakterleri post edilebilir');
}

asilens · 06.01.2007

Alıntı:

ba kubah tarafından gönderilen mesaj:

peki soyle yapsak olmaz mi,

foreach($_POST as $i=>$x)
{
if(!ereg_match('\w',$x))
die('sadece a-Z 0-9 ve _ karakterleri post edilebilir');
}

olur ancak diyelim ki üyelik formun var ve ad soyad alanına türkçe karakter girmek isteyecek... türkçe karaktere de izin vermez böyle

desired · 06.01.2007

asilens,
ancak bu şekilde şifresi selecto olan birisi giriş yapamıyor. böyle bir dezavantaj var.
gerçi şifre alanı md5 ile karşılaştırılarak yapılırsa sorun olmaz ancak textbox ın kullanıdığı çok alan var hepsi için de md5 karşılaştırması yapamayız sanırım.

Kafam takılan bir yer daha var. bazı sitelerde text alanı girilen kısımlara HTML kodu girildiği zaman okuma sırasında kodlar aynen yazıyor ancak çalışmıyor tabi ki..
strip_tags () komutu bildiğim kadarıyla HTML tagleri ortadan kaldırabiliyor. ancak benim istediğim şey hiç bir kodun (ne PHP ne de HTML) çalışmaması ama kabul etmesi , sadece benim ayarladığım bbcodeların işlevli olması..
inşallah açıklayıcı olmuşumdur.

asilens · 06.01.2007

Alıntı:

desired tarafından gönderilen mesaj:

asilens,
ancak bu şekilde şifresi selecto olan birisi giriş yapamıyor. böyle bir dezavantaj var.
gerçi şifre alanı md5 ile karşılaştırılarak yapılırsa sorun olmaz ancak textbox ın kullanıdığı çok alan var hepsi için de md5 karşılaştırması yapamayız sanırım.

Kafam takılan bir yer daha var. bazı sitelerde text alanı girilen kısımlara HTML kodu girildiği zaman okuma sırasında kodlar aynen yazıyor ancak çalışmıyor tabi ki..
strip_tags () komutu bildiğim kadarıyla HTML tagleri ortadan kaldırabiliyor. ancak benim istediğim şey hiç bir kodun (ne PHP ne de HTML) çalışmaması ama kabul etmesi , sadece benim ayarladığım bbcodeların işlevli olması..
inşallah açıklayıcı olmuşumdur.

evet sifresini select yada delete olarak verenler de cikabilecektir ancak onlari farkli bir sifre secmeye de yonlendirebilirsin.. yani md5 yapmadan da baktin suc isleyebilecek bir sey geldi, sagina veya soluna tek haneli bi deger verip sifrenizi bu sekilde kullanabilir yada baska bir sey secebilirsiniz gibi bir yonlendirme yapilabilir tabi bu yollar sacma ama guvenlik herseydir.. bu arada ben bir ara HTML taglari ('<' '>') [ ] seklinde replace ederdim.. fena durmazdi ekranda : )..

s5prin · 07.01.2007

http://forum.zoque.net/sunucu-tabanl...sil-ulasirlar/
PHP fonksiyon kütüphanesi

rip · 08.01.2007

Kod:

$gelme = array ('select', 'insert', 'delete', 'update', 'drop table', 'union', 'null', 'SELECT', 'INSERT', 'DELETE', 'UPDATE', 'DROP TABLE', 'UNION', 'NULL');
	for ($i = 0; $i < sizeof ($_GET); ++$i)
	{
		for ($j = 0; $j < sizeof ($gelme); ++$j)
		{
			if (preg_match ('/' . $gelme[$j] . '/', $_GET[key ($_GET)]))
			{
				$temp = key ($_GET);
				$_GET[$temp] = '';
				exit("SAKINNNN !!!  ");
				continue;
			}
		}

peki buna benzer birşey ASP'de nasıl olabilir?

teknoemin · 08.01.2007

Alıntı:

rip tarafından gönderilen mesaj:

Kod:

$gelme = array ('select', 'insert', 'delete', 'update', 'drop table', 'union', 'null', 'SELECT', 'INSERT', 'DELETE', 'UPDATE', 'DROP TABLE', 'UNION', 'NULL');
	for ($i = 0; $i < sizeof ($_GET); ++$i)
	{
		for ($j = 0; $j < sizeof ($gelme); ++$j)
		{
			if (preg_match ('/' . $gelme[$j] . '/', $_GET[key ($_GET)]))
			{
				$temp = key ($_GET);
				$_GET[$temp] = '';
				exit("SAKINNNN !!!  ");
				continue;
			}
		}

peki buna benzer birşey ASP'de nasıl olabilir?

ASP de genellikle SQL Enjeksiyon yönetimini engellemek için post edilen verinin içerisi replace kodu ile kontrol edilir ve engellenmesi gereken zararlı karakterler engellenir. Örneğin;

Alıntı:

Teknoemin tarafından gönderilen mesaj:

<%
function temizle(gelen)
gelen = replace(gelen,"'","")
gelen = replace(gelen,"<","")
gelen = replace(gelen,">","")
gelen = replace(gelen,"+","")
gelen = replace(gelen,"&","")
gelen = replace(gelen,"%","")
gelen = replace(gelen,"=","")
temizle = gelen
end function
%>
<%
function temizle2(gelen)
gelen = replace(gelen,"'","")
gelen = replace(gelen,"<","")
gelen = replace(gelen,">","")
gelen = replace(gelen,"+","")
gelen = replace(gelen,"&","")
gelen = replace(gelen,"%","")
gelen = replace(gelen,"=","")
gelen = replace(gelen," ","")
temizle2 = gelen
end function
%>
<%
function temizle3(gelen)
gelen = replace(gelen,"'","")
gelen = replace(gelen,"<","")
gelen = replace(gelen,">","")
gelen = replace(gelen,"+","")
gelen = replace(gelen,"&","")
gelen = replace(gelen,"%","")
gelen = replace(gelen,"=","")
temizle3 = gelen
end function
%>

soul · 10.01.2007

Aslinda usttekilerin hicbiri cok iyi bir koruma degil.

Whitelisting yani girilebilecekleri kisitlama en mantikli hareket ancak ' genelde gecerli bir karakter bakiniz O'Reillt, O'Neil her ne kadar bu sekilde turk ismi olmasa da konu o degil. Mesela bir forum sistemi yaziyorsunuz (') karakterini silecekmisiniz ya da kabul mu edeceksiniz ?

Bu kod ise hic bir guvenlik saglamiyor,

Alıntı:

$gelme = array ('select', 'insert', 'delete', 'update', 'drop table', 'union', 'null', 'SELECT', 'INSERT', 'DELETE', 'UPDATE', 'DROP TABLE', 'UNION', 'NULL');

Ek olarak kisi kelimenin icerisinde NULL dediginde onu da kabul etmeyecegiz (tabii ki gene forum tarzi bir yazilim icin konusuyorum)

Diliniz PHP db" niz MySQL ise mysql_real_escape() eger ki ASP ya da herhangi bir dil ve SQL server kullaniyorsuaniz da ' karakterini '' yani iki tane tek tirnaklar replace edeceksiniz.

Ek olarak tabii ki kabul edilen karakterler ile girisi sinirlamak her zaman en iyi metod ama karakterleri sinirladikrtan sonra bile db ye gonderirken mysql_escape() gecirilmeli.

Klasik olarak tlanilan bir noktada eger integer bekliyorsaniz degeri kontrol edin ve sadece integersa kabul edin.

06.01.2007	#1 (permalink)
desired Üyelik Tarihi: 05.01.2007 Yer: adana Mesaj: 24	sql injection engellemek merhaba herkese... phpde geliştirmeye çalışıyorum kendimi ancak gün içinde sürekli kafama birşeyler takılıyor , bugün de kafama takılan şeyin bir isminin olduğunu ve hatta çok canlar yaktığını öğrendim. evet SQL injection i araştırdım biraz ancak üzerinde çalıştığım sistemimin siz de göreceksiniz ki SQL injectiona müsait olduğunu farkettim ancak ne yaptıysam kendi sistemimi hack!leyemedim. login olma kısmı şu şekilde... Kod: $tablo = "select * from uyeler where kuladi='$login' and sifre='$password'"; Şifre alanına abcd' or '1'='1 girerek denedim ancak sisteme giremedim. SQL injeciton olayına kendimce çözüm bulabilmem için kendim bu olayı kavramam lazım ama onu başaramadım. SQL injeciton için stored procedure ve mysql_real_escape_string() den bahsediliyor ancak bunu login formuma nasıl uygulayacağım konusunda bir fikrim yok. Fikir belirtirseniz sevinirim.

06.01.2007	#3 (permalink)
ba kubah Mesaj: n/a	Re: sql injection engellemek peki soyle yapsak olmaz mi, foreach($_POST as $i=>$x) { if(!ereg_match('\w',$x)) die('sadece a-Z 0-9 ve _ karakterleri post edilebilir'); }

06.01.2007	#5 (permalink)
desired Üyelik Tarihi: 05.01.2007 Yer: adana Mesaj: 24	Re: sql injection engellemek asilens, ancak bu şekilde şifresi selecto olan birisi giriş yapamıyor. böyle bir dezavantaj var. gerçi şifre alanı md5 ile karşılaştırılarak yapılırsa sorun olmaz ancak textbox ın kullanıdığı çok alan var hepsi için de md5 karşılaştırması yapamayız sanırım. Kafam takılan bir yer daha var. bazı sitelerde text alanı girilen kısımlara HTML kodu girildiği zaman okuma sırasında kodlar aynen yazıyor ancak çalışmıyor tabi ki.. strip_tags () komutu bildiğim kadarıyla HTML tagleri ortadan kaldırabiliyor. ancak benim istediğim şey hiç bir kodun (ne PHP ne de HTML) çalışmaması ama kabul etmesi , sadece benim ayarladığım bbcodeların işlevli olması.. inşallah açıklayıcı olmuşumdur.

07.01.2007	#7 (permalink)
s5prin Üyelik Tarihi: 16.12.2006 Yer: istanbul Yaş: 26 Mesaj: 470	Re: sql injection engellemek http://forum.zoque.net/sunucu-tabanl...sil-ulasirlar/ PHP fonksiyon kütüphanesi __________________ imzaya sponsor

Sponsorlu Bağlantılar
Zoque.Forum Reklam