Wann genau muß escaped werden?

Computer: Software & Programmierung PHP
#1

Hallo!

Ich habe eine generelle Frage zum escapen:
Nehmen wir an, ich setzte magic quotes auf ‚off‘ (wie es auf php.net empfohlen wird).

Mit der Funktion mysql_real_escape_string() escape ich dann die SQL-Queries, um SQL-Attacken oder -Fehler auszuschließen und falls ich mal dynamisch Text in HTML einfügen will, verwende ich die Funktion htmlspecialchars().

Ist das wirklich alles?

Ich meine: wenn zum Beispiel ein Hacker über ein Eingabefeld „miesen Code“ eingibt, dann kann solange nichts passieren, solange keine MYSQL-Querie durchgeführt werden? Das heißt, das normale PHP-Skript kann damit nicht angegriffen werden?

Ich frage nur, weil bei ‚magic_quotes_gpc = off‘ ja $_get, $_post usw schon im Vorfeld escaped werden, bevor die Seite geladen ist.

Vielen Dank für jede Antowrt,
Andreas

#2

Hallo Andreas,

Ist das wirklich alles?

Damit deckst Du den größten Teil an möglichen Angriffen auf die Datenbank ab. Du solltest zudem alle Datentypen sorgfältig prüfen, die vom Benutzer geschickt werden, bevor Du damit die Datenbank fütterst.

Ich meine: wenn zum Beispiel ein Hacker über ein Eingabefeld
„miesen Code“ eingibt, dann kann solange nichts passieren,
solange keine MYSQL-Querie durchgeführt werden?

Kommt darauf an, wie Dein Programm strukturiert ist und wie sorgfältig Du programmierst. Wenn Du zb. eval()-Befehle unbedacht mit übergebenen Daten ausführst, könnte ein User es bunt treiben - wie Dateien auslesen, die er nicht darf, Zugriffsrechte für Ordner ändern und ähnlich wenig erfreuliches. Es gibt etwas mehr als eine Handvoll dieser Befehle, deren Einsatz nicht unüberlegt sein sollte.

http://www.securephpwiki.com/index.php/Using_Variabl…

SQL-Injections sind aber primäre Angriffe, weil eval() ziemlich in Verruf gekommen ist und weitaus weniger eingesetzt wird als SQL-Abfragen.

http://php3.de/manual/de/security.database.sql-injec…
http://www.securephpwiki.com/index.php/SQL_Injection

E-Mail Injections mit sendmail() sind ein weiterer Punkt, die Eingaben über Kontaktformulare sind eine ebenso heikle Angelegenheit - escapen alleine reicht da nicht aus. Dies geht aber auf das E-Mail Format selbst zurück. Mittlererweile laufen solche Header-Injections mit Tools vollautomatisch ab, Spammer grasen Websites mit Kontaktfomularen in unglaublich schneller Zeit ab, um sie ‚auf Sicherheit zu testen‘.

http://www.securephpwiki.com/index.php/Email_Injection
http://www.drweb.de/webmaster/kontakt-formulare.shtml

Derer Injections gibt es viele. Escapen deckt sie nicht alle ab, ist aber unverzichtbar beim Arbeiten mit Benutzereingaben und Datenbanken.

http://www.securephpwiki.com/index.php/Category:Inje…

Das wichtigste ist, immer das maximale Misstrauen in Benutzereingaben zu geben, die weiterverarbeitet werden (dazu gehören nicht nur gepostete Formulardaten, sondern auch GET- und Cookie-Parameter. Mit entsprechenden Prüffunktionen lässt sich dies aber ziemlich gut absichern.

Schönen Gruß,
Rudy