Segurança em PHP

[Alaerte Gabriel 662]

Segurança é o item mais importante de um sistema, logo, não é preciso apenas cuidar da SQL Injeção, lembrem-se sempre dos itens tipo include de páginas, arquivo de configuração de DB que muita gente ainda usa ini, colocar index.html em branco nas pastas cuja não tem uma index, ou até mesmo criar um htaccess para redirecionamento caso o acesso seja direto.

[decapattack 0]

Procurando na internet encontrei no Stack Overflow a seguinte resposta:

 

Aqui está um exemplo de código que addslashes não bloqueia:

 

"http://localhost/escape_test.php?max=0+and+sleep(10)"

 

<?php
mysql_connect("localhost","root","");
if(get_magic_quotes_gpc()){
   $max=$_GET['max'];
}else{
   $max=addslashes($_GET['max']);
}
print "select * from mysql.user where max_connections=".$max;
$q=mysql_query("select * from mysql.user where max_connections=".$max);
$a=mysql_fetch_array($q);
print_r($a);
?>

 

Ele sugere que uma das coisas que pode impedir é forçar o valor a ser Integer

 

Link da resposta no StackOverflow

[Marcos Knijnik 0]

Bem, eu faria algo do tipo...

 

~<?php

function anti_injection($campo, $tipo="string"){
    if($tipo == "string"){
         if(get_magic_quotes_gpc() == 0){
              $campo = addslashes($campo);
         }
         return $campo;
    }elseif($tipo=="numeric"){
         if(is_numeric($campo)){
              return $campo;
         }else{
              $campo = preg_replace('/[^0-9]/', '', $campo);
              return $campo;
         }
    }
}

// para realizar a função em caso de sting:
$str = anti_injection($_GET['str'], "numeric"); // irá inserir uma barra invertida antes de ', " e \
echo $str;

?>

 

Caso você deseje realizar a função em uma string, ele irá adicionar uma barra invertida antes dos caracteres de escape ', " e \, como dito no código.

 

Caso seja um número, ele irá excluir tudo o que não for número, desde letras, espaços a símbulos...

[Marcos Knijnik 0]

Estive pensando melhor o código acima, e acho melhor assim:

 

<?php
/**
* Função Anti-SQL Injection
* Por Marcos Knijnik
*/

function anti_injection($campo, $tipo="string"){

  if($tipo == "string"){
     if(get_magic_quotes_gpc() == 0){
        $campo = addslashes($campo);
     }
     return $campo;

  }elseif($tipo=="numeric"){
     $campo = 0 + $campo;
     return $campo;
  }
}

// para usar em caso de string
$senha = anti_injection($senha);

// para usar em caso de número
$id = anti_injection($id, 'numeric');

 

Mudei a parte de número e agora tem uma eficácia máxima... veja, o PHP faz algumas conversões automáticas, e caso nós adicionemos um número há algo, ele automaticamente exclue tudo após o primeiro caractere não-numérico. Nesse caso, se usassemos o exemplo acima para tratar "' or 1=1", ele excluiria tudo. Agora, caso tratemos "5 DROP tabela", ele excluiria tudo apartir do espaço, ficando "5".

[Leozitho 81]

eu sempre via a maioria dos programadores substituindo palavras e acrescentando barras invertidas como forma de prevenir contra o SQL Injection, e queria mostrar que isso é totalmente desnecessário. ;)

 

mas é isso que mysql_real_escape_string faz:

 

Beraldo, vi sua mensagem agora. Sim, a função mysql_real_escape_string também faz isso, mas a grande diferença é que ela faz isso apenas para escapar o conteúdo e não o modifica.

 

Se você usar addslashes os dados serão salvos com as barras invertidas, ou seja, vai alterar o conteúdo salvo no banco de dados e você terá que tratá-lo duas vezes, na entrada e saída do banco com a função stripslashes. Por outro lado usando a função mysql_real_escape_string o conteúdo será salvo intacto no banco de dados.

 

Foi isso o que eu quis dizer.

[Matias Rezende 50]

eu sempre via a maioria dos programadores substituindo palavras e acrescentando barras invertidas como forma de prevenir contra o SQL Injection, e queria mostrar que isso é totalmente desnecessário. ;)

 

mas é isso que mysql_real_escape_string faz:

...Se você usar addslashes os dados serão salvos com as barras invertidas...

 

Nops.... Só salva com as barras invertidas se estiver com o magic_quotes_gpc() habilitado. Caso contrário, só escapa os caracteres.

 

Carlos Eduardo

[CrY 1]

eu faria com o str_replace mesmo

ficando assim

<?php
$campo = $_POST['campo'];
$campo = str_replace("'","",$campo);
$campo = str_replace('"',"",$campo);
echo = $campo;
?>

 

ou eu utilizaria array

[Matias Rezende 50]

@CrY

 

Como funcionaria se eu, utilizando a forma que você definiu, eu precisasse gravar no banco de dados a palavra "marca d'água", por exemplo?

 

Vejamos:

<?php
$campo = "marca d'água";
$campo = str_replace ( "'", "", $campo );
$campo = str_replace ( '"', "", $campo );
echo $campo; // marca dágua

 

Ou então se precisasse gravar TV 20":

<?php
$campo = 'TV 20"';
$campo = str_replace ( "'", "", $campo );
$campo = str_replace ( '"', "", $campo );
echo $campo; // TV 20

 

Veja que nos dois casos o conteúdo foi danificado, o sentido original (segundo caso) ou ficando incorreto gramaticamente (primeiro caso). Então, eu repito. Escapar caracteres (addslashes) em strings e para os outros campos fazer o cast.

 

Carlos Eduardo

[sgauit 0]

validação de dados é muito importante, eu mesmo sempre gostei, eu tenho um colega que ficava bravo comigo porque eu sempre encontrava erros nos scripts e el se indignava hehehheh.

 

 

Hospedagem de sites

[Alfredao 0]

Recentemente recebi inject no meu site.

 

Fui ver nas logs e tinha passado o seguinte

 

upupdatedaupdatete tabela sesett coluna = 1

 

O problema é o seguinte, a função antisql iria remover aquilo que eu não queria, como select, update, delete, where e etc

 

Ai remover "update" de upupdatedaupdatete

 

Sobraria "update" do mesmo jeito, então o jeito foi fazer uma função recursiva, se existir "update" ou qualquer outra coisa na string, executa a função novamente, senão, retorna a string.

[hinom 5]

#90

é desnecessário..

 

os parâmetros devem ser filtrados de acordo com os seus respectivos typehint antes de formatar adequadamente na query sql.. basta isso

 

no php, o typehint não é obrigatório, pois é automaticamente interpretado pelo engine, propiciando um certo "desleixe" por parte dos inexperientes em programação

[John Kepler 0]

Filtra tudo que não seja números, letras minusculas e maiúsculas:

 

<?php
function filtra($str) {
	return ereg_replace("[^a-zA-Z0-9]", "", $str);
}
?>

[hinom 5]

#92

 

ereg_replace é uma função em "desuso" (deprecated), ou seja, será removido nas próximas versões do PHP.

Deve trocar por preg_replace, que ficaria assim:

preg_replace('#[^a-zA-Z0-9]#', '', $str);

 

 

Uma outra coisa.. a função é deficitária:

 

function filtra($str)
{
   //return ereg_replace("[^a-zA-Z0-9]", "", $str);
   return preg_replace('#[^a-zA-Z0-9]#', '', $str);
}
echo filtra('日本語 ãéá');

 

 

remove caracteres multibyte e também os caracteres especiais do latin..

 

se quer aprender a se proteger de sql-injection (injeções SQL), entenda o que é SQL..

Quem realmente entende o que é o SQL, não faz essas ⁽¹⁾coisas absurdas corrompendo os dados..

 

 

⁽¹⁾ desculpe pelos termos ofensivos.

[Wingdings 20]

Usar as funções

mysql_escape_string() e htmlspecialchars()

 

Já é uma mão na roda, eu uso somente essas funções e nao tenho problemas ^^