Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP / MYSQL] Whitelist für SQL-Queries (https://www.delphipraxis.net/161058-%5Bphp-mysql%5D-whitelist-fuer-sql-queries.html)

TheMiller 14. Jun 2011 18:50
[PHP / MYSQL] Whitelist für SQL-Queries
 
Hallo Leute,

habe mich etwas mit Stored Procedures befasst und doch einige Nachteile (Leistung etc.) kennengelernt. Ich habe mir jetzt ein anderes System gedacht, welches mich vor SQL-Injections schützen soll und wollte euch mal dahingehend um Rat bitten.

Also: Ich nutze in PHP eine von mir erstelle Validator-Klasse um alle Benutzereingaben auf korrekte Formate, Länge und erlaubte/verbotene Zeichen zu prüfen. Unter anderen werden auch Worte wie "SELECT", "DELETE" etc. gefiltert.

Wie wäre es jetzt, wenn ich soetwas auch auf meine Datenbankklasse anwende, sodass ich die Statements - so wie meine Applikation sie verwenden wird - zuvor auf eine Whitelist setze. Jede SQL-Anfrage, die dann ausgeführt wird, wird gegen die Whitelist geprüft. Das könnte zB so aussehen:

Code:
$db = new db("", "", "", "");
$db->allowSQL("SELECT a,b,c FROM tabelle WHERE a = :zahl AND b = :string;");
$db->sql("SELECT a,b,c FROM tabelle WHERE a = 4 AND b = 'test';");
Klar würden die Statements dann doppelt geschrieben werden. Für die Programmierung/Debug würde ich eine Funktion "testsql" haben, die die Whitelist-Check umgeht, sodass ich in Ruhe programmieren kann. Wenn das Statements dann funktioniert, würde ich auf die obige Version nachträglich umstellen.

Das müsste doch, in Zusammenhang mit der Validator-Klasse, eine super-sichere Sache sein (hinsichtlich der SQL-Injections), oder?

Was meint ihr?

omata 14. Jun 2011 18:54
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Prüfe deine Parameter, dann ist so etwas wie du vorschlägst nicht notwendig.

TheMiller 14. Jun 2011 18:56
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Die Parameter prüfe ich ja in der Validator-Klasse. Mir geht's darum SQL-Injections bzw. die Möglichkeiten dazu zu verhindern, die durch evtl. Unachtsamkeit entstehen können.

himitsu 14. Jun 2011 19:02
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Wenn man von außen keine Queries übergeben kann, dann braucht man auch nichts zu prüfen.
Und da du eh nur registrierte Queries durchlassen willst, ist es sowieso nutzlos irgendwas einzubauen, wo man sowas übergeben könnte.

TheMiller 14. Jun 2011 19:10
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Zitat:
Zitat von himitsu (Beitrag 1106380)
Wenn man von außen keine Queries übergeben kann, dann braucht man auch nichts zu prüfen.
Und da du eh nur registrierte Queries durchlassen willst, ist es sowieso nutzlos irgendwas einzubauen, wo man sowas übergeben könnte.
Hey. Das habe ich gerade nicht verstanden. Angenommen, ich habe ein "email / Passwort"-Formular für einen Login. Dann wird doch die Variable eMail und die Variable Passwort an die DB geschickt. Angenommen, ich habe die Variablen nicht sauber geprüft, könnte ein Dritter doch die Query so verändern (SQL-Injection), dass er an andere Daten rankommt, die mit der Ausgangs-Query nicht geladen worden wären. Daher nochmal diese Whitelist-Prüfung - so dachte ich jedenfalls.

Aber ich scheine dich falsch verstanden zu haben, oder?

jfheins 14. Jun 2011 19:11
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Zitat:
Zitat von DJ-SPM (Beitrag 1106374)
Was meint ihr?
ich halte davon nur wenig. Doppeltes Zeug im Code zu haben ist nie gut. Und eine Whitelist ist auch nicht so doll weil du ja im Grunde einen SQL Parser nachprogrammieren müsstest um zu sehen ob die Query schädlich ist. Dabei hast du bereits einen SQL Parser.

Auch PHP kann Prepared Statements: http://php.net/manual/de/pdo.prepared-statements.php => benutze sie ;)

BUG 14. Jun 2011 19:13
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Sowas läuft unter dem Namen Bei Google suchenSQL Firewall.
Ein Vertreter ist zB. GreenSQL.

rollstuhlfahrer 14. Jun 2011 19:16
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
In der PHP-Hilfe steht drin, dass man für die beschriebenen Fälle auch mysql_real_escape_string() verwenden soll. Dadurch werden alle SQL-Injections abgewehrt, solange du um deinen Escaped-String noch Anführungszeichen machst. Das sollte alles sein -> kein Validator, kein Parser, kein Gar nichts. Nur die Parameter darfst du trotzdem noch prüfen.

Bernhard

TheMiller 14. Jun 2011 19:16
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Ehm okay. Dann werde ich mich mal erkundigen.

Schade - dachte eigentlich, ich hätte voll die innovative Idee ;)

Danke

rollstuhlfahrer 14. Jun 2011 19:29
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Zitat:
Zitat von DJ-SPM (Beitrag 1106386)
Schade - dachte eigentlich, ich hätte voll die innovative Idee ;)
So neu ist die auch wieder nicht. Wenn man sich mal mit PHPMyAdmin beschäftigt hat, merkt man schnell, dass der einen SQL-Interpreter auf JS-Basis an Board hat. Grund: Gibt man in ein SQL-Feld einen Löschbefehl ein, so wird der erkannt und erst mal Nachgefragt, ob der wirklich ausgeführt werden soll. Ansonsten ist auch noch ein PHP-SQL-Highlighter eingebaut. Also alles nichts wirklich neues.

Bernhard

TheMiller 14. Jun 2011 19:31
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hab's kapiert ;)

Ne, danke euch für all die Infos und ich werde mich damit mal auseinandersetzen. Aber nicht mehr heute, sondern eher morgen ;)

Valle 14. Jun 2011 20:48
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hallo,

du solltest dir eine Klasse schreiben oder suchen, welche dir den Umgang mit SQL erleichtert. Idealerweise solltest du einen Objektrelationalen-Mapper verwenden, kurz ORM. Damit kann sowas bei richtiger Benutzung prinzipiell nicht passieren. Gute Beispiele dafür wären CakePHP oder Doctrine. Weitere findest du hier.

Alternativ, wenn dir das lieber ist, kannst du auch einfach die Prepared Statements von PHP in einer Klasse kapseln und das Escapen selbst übernehmen. Ich würde dir hier aber den ORM empfehlen. Dieser ist zwar weitaus komplexer, allerdings auch wesentlich einfacher im späteren Verlauf des Projektes und hat viele weitere Vorteile. Ich arbeite bei neuen Sachen mittlerweile ausschließlich damit.

Schade eigentlich dass dir das bisher niemand gesagt hat. Meiner Meinung nach geht es nur so richtig. :)

Liebe Grüße,
Valentin

wicht 14. Jun 2011 21:04
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
Hier muss ich Valle ganz klar zustimmen und wenn er es nicht geschrieben hätte, wäre sein Post meiner :-D. Nach Jahren mit SQL Frickelei bin ich sehr, sehr dankbar dafür, dass es sowas wie ORM gibt. Damit sollte man sich auf jedenfall beschäftigen.

alcaeus 15. Jun 2011 19:23
AW: [PHP / MYSQL] Whitelist für SQL-Queries
 
@Valle: das find ich jetzt scheisse von dir. Absolut scheisse. DAS IST MEIN TEXT!!!!! ;)

Ich kann mich meinen Vorrednern nur anschliessen. Die Idee das SQL selbst zu parsen und versuchen, den Muell rauszuloeschen ist die duemmste Verteidigung die dir gegen SQL-Injection einfallen kann. Nimms mir nicht uebel, aber mit ziemlicher Sicherheit wird man das System mit Hilfe von geschickt platzierten Kommentaren, Quotes und Escape-Characters komplett aushebeln koennen.

Verwende Doctrine oder die PDO-Funktionen fuer MySQL in Verbindung mit Prepared Statements und du wirst bis an dein Lebensende gluecklich. Und das ohne dass du ein weiteres Quadrat als Rad verkaufen musst ;)

Greetz
alcaeus


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:09 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz