abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 14
včera 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
včera 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
včera 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 4
včera 17:55 | Komunita

Vývojáři Debianu oznámili, že od 1. listopadu letošního roku nebudou jejich archivy dostupné pomocí protokolu FTP. Již v lednu oznámil ukončení podpory FTP kernel.org (The Linux Kernel Archives).

Ladislav Hagara | Komentářů: 7
včera 17:00 | Bezpečnostní upozornění

V oblíbeném webmailu postaveném na PHP SquirrelMail (Wikipedie) byla nalezena bezpečnostní chyba CVE-2017-7692, jež může být útočníkem zneužita ke spuštění libovolných příkazů a kompletnímu ovládnutí dotčeného serveru. Zranitelnost se týká pouze instancí, kde je pro transport používán Sendmail.

Ladislav Hagara | Komentářů: 3
včera 13:11 | Zajímavý článek

Soudní dvůr Evropské unie rozhodl (tisková zpráva) ve věci C-527/15: Prodej multimediálního přehrávače, který umožňuje zdarma a jednoduše zhlédnout na televizní obrazovce filmy protiprávně zpřístupněné na internetu, může představovat porušení autorského práva.

Ladislav Hagara | Komentářů: 22
25.4. 13:33 | Pozvánky

Byly stanoveny termíny konferencí LinuxDays 2017 a OpenAlt 2017. Letošní LinuxDays proběhne o víkendu 7. a 8. října v Praze v Dejvicích v prostorách FIT ČVUT. Letošní OpenAlt proběhne o víkendu 4. a 5. listopadu na FIT VUT v Brně.

Ladislav Hagara | Komentářů: 0
25.4. 11:11 | Komunita

Jiří Eischmann z desktopového týmu Red Hatu se v příspěvku Linuxový desktop: Co vám chybí na svém blogu ptá, co uživatele na Fedora Workstation a na linuxovém desktopu obecně trápí a co by desktopový tým mohl zlepšit. Pokud máte nějaké podněty, napište mu je do komentářů.

Ladislav Hagara | Komentářů: 72
25.4. 03:33 | Nová verze

Byla vydána nová verze 0.25.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Z novinek lze zmínit například podporu DVB-T2. Další části mpv byly přelicencovány z GPLv2 nebo novější na LGPLv2.1 nebo novější (#2033).

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (1%)
 (6%)
 (45%)
 (10%)
Celkem 315 hlasů
 Komentářů: 50, poslední dnes 04:06
    Rozcestník

    Dotaz: PHP, MySQL a SQL injection

    22.1.2015 21:44 Petr Rapouch
    PHP, MySQL a SQL injection
    Přečteno: 915×
    Dobry den,

    po byvalem kolegovi nam zustal takovy PHP moloch pro evidenci skladu, dodavatelu, odberatelu, faktur, ... Predesilam, ze PHP rozumim jako koza petrzeli. Dostal jsem nicmene za ukol doplnit tam moznost, aby odberatele mohli videt faktury, ktere jsme jim vystavili.

    Nejak jsem to uplacal, funguje to, akorat bych rad mel jistotu, ze to nepujde "haknout", nez tam pustim nekoho zvenci.

    Vim, uplne vas slysim, co vsechno mi ted chcete napsat. Aby se z toho nestal gulas, pokusim se vase rady trochu usmernit.

    V prve rade neni v tom zadny JavaScript. Dale pobezi to na renomovanem webhostingu (nebudu jmenovat, musite mi verit). Dalsi ujisteni shrnu do zkratky: atd...

    Verim, ze byste mi radi pomohli i do schodu :) ale ted mi jde fakt vyhradne o to, aby tam nebylo mozne provest SQL injection.

    Pouziva to MySQL rozsireni, ktere je "deprecated". Vim, bohuzel je to takovy moloch, ze neni v mych silach to prepsat na MySQLi nebo PDO, ani tam nasadit "prepared statements".

    V index.php, hned za prihlasenim do databaze jsem objevil toto:
    array_walk_recursive($_GET,  function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    array_walk_recursive($_POST, function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    
    Jestli to chapu dobre, tak to veskere predane parametry prozene pres funkci trim() a mysql_real_escape_string().

    Tedy ptam se: staci to takhle? A k cemu je tam prosimvas ta promenna $k, ktera se tam nikde dal nepouzije?

    Dekuji

    Odpovědi

    22.1.2015 22:02 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Pravděpodobně to stačí, ale záleží na tom, jak se s těmi řetězci dále pracuje.

    $k je klíč v tom poli, které se prochází.
    22.1.2015 23:16 Petr Rapouch
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Dekuji!

    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?

    Prip. jestli je moznost "to neco" vygrepovat ze zdrojaku, abych se mohl presvedcit, ze se to tam nedeje?

    Ted jsem treba zkousel grepovat, jestli se promenne nepouzivaji v nazvech souboru, ktere se natahuji za behu. A podle vseho nepouzivaji.

    Dekuji za Vas cas
    Jendа avatar 23.1.2015 09:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Funkční problém vznikne, když řetězec neuložíš do databáze, ale hned vypíšeš klientovi - bude escapovaný. Postupně se takhle třeba při každém editu budou exponenciálně nabalovat backslashe,
    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?
    Třeba když se bude dekódovat z urlencode/base64, takže tam můžou vzniknout znaky, které původní escape neviděl. Nebo když se budou dělat nějaké substituce regexpem, takže třeba hacker dokáže aplikaci přinutit, aby smazala backslashe.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    23.1.2015 20:17 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Např. pokud ten řetězec uložíte do databáze, příště ho načtete a znovu použijete v SQL. Nebo pokud ho odescapujete, abyste ho mohl zobrazit, a použijete v SQL.
    24.1.2015 10:23 Kit
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Tohle je dobrá ukázka.
    23.1.2015 09:52 Kit | skóre: 37 | Brno
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Správně to není, protože vstupy mají zůstat immutable. Databázi by to však ochránit mělo.

    Funkce mysql_real_escape_string() by se měla použít až těsně před slepením SQL dotazu. Používá se totiž jen pro stringy - na čísla je nutné použít jiný typ ošetření vstupu.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    Josef Kufner avatar 23.1.2015 10:27 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jak už bylo řečeno, budou se ti množit lomítka a nemusí to vždy zafungovat.

    Projdi celou aplikaci a uprav to na používání PDO s placeholdery. Měla by to být relativně snadná uprava, pokud si pečlivě připravíš funkci, která bude dobře sedět do stávajícího kódu. Pak můžeš tyto dva ošklivé řádky smazat a aplikace bude bezpečná a funkční.
    Hello world ! Segmentation fault (core dumped)
    23.1.2015 13:55 Filip Jirsák
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Proti jednoduchému SQL injection by to chránit mělo, jak píšou ostatní. Ovšem je to založené na předpokladu, že mysql_real_escape_string parsuje SQL absolutně stejně, jako parser dotazů v MySQL. Takže pořád existuje nepatrná možnost, že budete mít třeba jinak nakonfigurované PHP a jinak MySQL (třeba znakovou sadu), nebo bude nepatrná odchylka v parseru, a útočník dokáže tuto „ochranu“ pokořit. Nebyl by to klasický útok pomocí ';, ale něco sofistikovanějšího.

    Josef Kufner avatar 24.1.2015 16:59 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jinak přesně tohle kdysi dělaly magic quotes, ale to už naštěstí bylo z PHP odstraněno. Tak se můžeš podívat, proč je nepoužívat – je to i odpověď na tvou otázku.
    Hello world ! Segmentation fault (core dumped)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.