Hallo Leute,

habe mich etwas mit Stored Procedures befasst und doch einige Nachteile (Leistung etc.) kennengelernt. Ich habe mir jetzt ein anderes System gedacht, welches mich vor SQL-Injections schützen soll und wollte euch mal dahingehend um Rat bitten.

Also: Ich nutze in PHP eine von mir erstelle Validator-Klasse um alle Benutzereingaben auf korrekte Formate, Länge und erlaubte/verbotene Zeichen zu prüfen. Unter anderen werden auch Worte wie "SELECT", "DELETE" etc. gefiltert.

Wie wäre es jetzt, wenn ich soetwas auch auf meine Datenbankklasse anwende, sodass ich die Statements - so wie meine Applikation sie verwenden wird - zuvor auf eine Whitelist setze. Jede SQL-Anfrage, die dann ausgeführt wird, wird gegen die Whitelist geprüft. Das könnte zB so aussehen:

Klar würden die Statements dann doppelt geschrieben werden. Für die Programmierung/Debug würde ich eine Funktion "testsql" haben, die die Whitelist-Check umgeht, sodass ich in Ruhe programmieren kann. Wenn das Statements dann funktioniert, würde ich auf die obige Version nachträglich umstellen.

Das müsste doch, in Zusammenhang mit der Validator-Klasse, eine super-sichere Sache sein (hinsichtlich der SQL-Injections), oder?

Was meint ihr?

Prüfe deine Parameter, dann ist so etwas wie du vorschlägst nicht notwendig.

Die Parameter prüfe ich ja in der Validator-Klasse. Mir geht's darum SQL-Injections bzw. die Möglichkeiten dazu zu verhindern, die durch evtl. Unachtsamkeit entstehen können.

Wenn man von außen keine Queries übergeben kann, dann braucht man auch nichts zu prüfen.
Und da du eh nur registrierte Queries durchlassen willst, ist es sowieso nutzlos irgendwas einzubauen, wo man sowas übergeben könnte.

Hey. Das habe ich gerade nicht verstanden. Angenommen, ich habe ein "email / Passwort"-Formular für einen Login. Dann wird doch die Variable eMail und die Variable Passwort an die DB geschickt. Angenommen, ich habe die Variablen nicht sauber geprüft, könnte ein Dritter doch die Query so verändern (SQL-Injection), dass er an andere Daten rankommt, die mit der Ausgangs-Query nicht geladen worden wären. Daher nochmal diese Whitelist-Prüfung - so dachte ich jedenfalls.

Aber ich scheine dich falsch verstanden zu haben, oder?

ich halte davon nur wenig. Doppeltes Zeug im Code zu haben ist nie gut. Und eine Whitelist ist auch nicht so doll weil du ja im Grunde einen SQL Parser nachprogrammieren müsstest um zu sehen ob die Query schädlich ist. Dabei hast du bereits einen SQL Parser.

Auch PHP kann Prepared Statements: http://php.net/manual/de/pdo.prepared-statements.php => benutze sie

Sowas läuft unter dem Namen SQL Firewall.
Ein Vertreter ist zB. GreenSQL.

In der PHP-Hilfe steht drin, dass man für die beschriebenen Fälle auch mysql_real_escape_string() verwenden soll. Dadurch werden alle SQL-Injections abgewehrt, solange du um deinen Escaped-String noch Anführungszeichen machst. Das sollte alles sein -> kein Validator, kein Parser, kein Gar nichts. Nur die Parameter darfst du trotzdem noch prüfen.

Bernhard

Ehm okay. Dann werde ich mich mal erkundigen.

Schade - dachte eigentlich, ich hätte voll die innovative Idee

Danke

So neu ist die auch wieder nicht. Wenn man sich mal mit PHPMyAdmin beschäftigt hat, merkt man schnell, dass der einen SQL-Interpreter auf JS-Basis an Board hat. Grund: Gibt man in ein SQL-Feld einen Löschbefehl ein, so wird der erkannt und erst mal Nachgefragt, ob der wirklich ausgeführt werden soll. Ansonsten ist auch noch ein PHP-SQL-Highlighter eingebaut. Also alles nichts wirklich neues.

Bernhard