AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP / MYSQL] Whitelist für SQL-Queries
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP / MYSQL] Whitelist für SQL-Queries

Ein Thema von TheMiller · begonnen am 14. Jun 2011 · letzter Beitrag vom 15. Jun 2011
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von TheMiller
TheMiller

Registriert seit: 19. Mai 2003
Ort: Gründau
2.480 Beiträge
 
Delphi XE7 Architect
 
#1

[PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 19:50
Hallo Leute,

habe mich etwas mit Stored Procedures befasst und doch einige Nachteile (Leistung etc.) kennengelernt. Ich habe mir jetzt ein anderes System gedacht, welches mich vor SQL-Injections schützen soll und wollte euch mal dahingehend um Rat bitten.

Also: Ich nutze in PHP eine von mir erstelle Validator-Klasse um alle Benutzereingaben auf korrekte Formate, Länge und erlaubte/verbotene Zeichen zu prüfen. Unter anderen werden auch Worte wie "SELECT", "DELETE" etc. gefiltert.

Wie wäre es jetzt, wenn ich soetwas auch auf meine Datenbankklasse anwende, sodass ich die Statements - so wie meine Applikation sie verwenden wird - zuvor auf eine Whitelist setze. Jede SQL-Anfrage, die dann ausgeführt wird, wird gegen die Whitelist geprüft. Das könnte zB so aussehen:

Code:
$db = new db("", "", "", "");
$db->allowSQL("SELECT a,b,c FROM tabelle WHERE a = :zahl AND b = :string;");
$db->sql("SELECT a,b,c FROM tabelle WHERE a = 4 AND b = 'test';");
Klar würden die Statements dann doppelt geschrieben werden. Für die Programmierung/Debug würde ich eine Funktion "testsql" haben, die die Whitelist-Check umgeht, sodass ich in Ruhe programmieren kann. Wenn das Statements dann funktioniert, würde ich auf die obige Version nachträglich umstellen.

Das müsste doch, in Zusammenhang mit der Validator-Klasse, eine super-sichere Sache sein (hinsichtlich der SQL-Injections), oder?

Was meint ihr?
  Mit Zitat antworten Zitat
omata

Registriert seit: 26. Aug 2004
Ort: Nebel auf Amrum
3.154 Beiträge
 
Delphi 7 Enterprise
 
#2

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 19:54
Prüfe deine Parameter, dann ist so etwas wie du vorschlägst nicht notwendig.
  Mit Zitat antworten Zitat
Benutzerbild von TheMiller
TheMiller

Registriert seit: 19. Mai 2003
Ort: Gründau
2.480 Beiträge
 
Delphi XE7 Architect
 
#3

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 19:56
Die Parameter prüfe ich ja in der Validator-Klasse. Mir geht's darum SQL-Injections bzw. die Möglichkeiten dazu zu verhindern, die durch evtl. Unachtsamkeit entstehen können.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#4

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:02
Wenn man von außen keine Queries übergeben kann, dann braucht man auch nichts zu prüfen.
Und da du eh nur registrierte Queries durchlassen willst, ist es sowieso nutzlos irgendwas einzubauen, wo man sowas übergeben könnte.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von TheMiller
TheMiller

Registriert seit: 19. Mai 2003
Ort: Gründau
2.480 Beiträge
 
Delphi XE7 Architect
 
#5

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:10
Wenn man von außen keine Queries übergeben kann, dann braucht man auch nichts zu prüfen.
Und da du eh nur registrierte Queries durchlassen willst, ist es sowieso nutzlos irgendwas einzubauen, wo man sowas übergeben könnte.
Hey. Das habe ich gerade nicht verstanden. Angenommen, ich habe ein "email / Passwort"-Formular für einen Login. Dann wird doch die Variable eMail und die Variable Passwort an die DB geschickt. Angenommen, ich habe die Variablen nicht sauber geprüft, könnte ein Dritter doch die Query so verändern (SQL-Injection), dass er an andere Daten rankommt, die mit der Ausgangs-Query nicht geladen worden wären. Daher nochmal diese Whitelist-Prüfung - so dachte ich jedenfalls.

Aber ich scheine dich falsch verstanden zu haben, oder?
  Mit Zitat antworten Zitat
Benutzerbild von jfheins
jfheins

Registriert seit: 10. Jun 2004
Ort: Garching (TUM)
4.579 Beiträge
 
#6

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:11
Was meint ihr?
ich halte davon nur wenig. Doppeltes Zeug im Code zu haben ist nie gut. Und eine Whitelist ist auch nicht so doll weil du ja im Grunde einen SQL Parser nachprogrammieren müsstest um zu sehen ob die Query schädlich ist. Dabei hast du bereits einen SQL Parser.

Auch PHP kann Prepared Statements: http://php.net/manual/de/pdo.prepared-statements.php => benutze sie
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#7

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:13
Sowas läuft unter dem Namen Bei Google suchenSQL Firewall.
Ein Vertreter ist zB. GreenSQL.
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Benutzerbild von rollstuhlfahrer
rollstuhlfahrer

Registriert seit: 1. Aug 2007
Ort: Ludwigshafen am Rhein
1.529 Beiträge
 
Delphi 7 Professional
 
#8

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:16
In der PHP-Hilfe steht drin, dass man für die beschriebenen Fälle auch mysql_real_escape_string() verwenden soll. Dadurch werden alle SQL-Injections abgewehrt, solange du um deinen Escaped-String noch Anführungszeichen machst. Das sollte alles sein -> kein Validator, kein Parser, kein Gar nichts. Nur die Parameter darfst du trotzdem noch prüfen.

Bernhard
Bernhard
Iliacos intra muros peccatur et extra!
  Mit Zitat antworten Zitat
Benutzerbild von TheMiller
TheMiller

Registriert seit: 19. Mai 2003
Ort: Gründau
2.480 Beiträge
 
Delphi XE7 Architect
 
#9

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:16
Ehm okay. Dann werde ich mich mal erkundigen.

Schade - dachte eigentlich, ich hätte voll die innovative Idee

Danke
  Mit Zitat antworten Zitat
Benutzerbild von rollstuhlfahrer
rollstuhlfahrer

Registriert seit: 1. Aug 2007
Ort: Ludwigshafen am Rhein
1.529 Beiträge
 
Delphi 7 Professional
 
#10

AW: [PHP / MYSQL] Whitelist für SQL-Queries

  Alt 14. Jun 2011, 20:29
Schade - dachte eigentlich, ich hätte voll die innovative Idee
So neu ist die auch wieder nicht. Wenn man sich mal mit PHPMyAdmin beschäftigt hat, merkt man schnell, dass der einen SQL-Interpreter auf JS-Basis an Board hat. Grund: Gibt man in ein SQL-Feld einen Löschbefehl ein, so wird der erkannt und erst mal Nachgefragt, ob der wirklich ausgeführt werden soll. Ansonsten ist auch noch ein PHP-SQL-Highlighter eingebaut. Also alles nichts wirklich neues.

Bernhard
Bernhard
Iliacos intra muros peccatur et extra!
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:08 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz