abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 3
    včera 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:33 | IT novinky

    Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:22 | Nová verze

    Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    24.7. 13:33 | IT novinky

    Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.

    Ladislav Hagara | Komentářů: 2
    24.7. 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 9
    23.7. 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 2
    23.7. 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (25%)
     (5%)
     (5%)
     (5%)
     (2%)
     (2%)
     (28%)
    Celkem 129 hlasů
     Komentářů: 16, poslední včera 15:31
    Rozcestník

    Dotaz: PHP, MySQL a SQL injection

    22.1.2015 21:44 Petr Rapouch
    PHP, MySQL a SQL injection
    Přečteno: 976×
    Dobry den,

    po byvalem kolegovi nam zustal takovy PHP moloch pro evidenci skladu, dodavatelu, odberatelu, faktur, ... Predesilam, ze PHP rozumim jako koza petrzeli. Dostal jsem nicmene za ukol doplnit tam moznost, aby odberatele mohli videt faktury, ktere jsme jim vystavili.

    Nejak jsem to uplacal, funguje to, akorat bych rad mel jistotu, ze to nepujde "haknout", nez tam pustim nekoho zvenci.

    Vim, uplne vas slysim, co vsechno mi ted chcete napsat. Aby se z toho nestal gulas, pokusim se vase rady trochu usmernit.

    V prve rade neni v tom zadny JavaScript. Dale pobezi to na renomovanem webhostingu (nebudu jmenovat, musite mi verit). Dalsi ujisteni shrnu do zkratky: atd...

    Verim, ze byste mi radi pomohli i do schodu :) ale ted mi jde fakt vyhradne o to, aby tam nebylo mozne provest SQL injection.

    Pouziva to MySQL rozsireni, ktere je "deprecated". Vim, bohuzel je to takovy moloch, ze neni v mych silach to prepsat na MySQLi nebo PDO, ani tam nasadit "prepared statements".

    V index.php, hned za prihlasenim do databaze jsem objevil toto:
    array_walk_recursive($_GET,  function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    array_walk_recursive($_POST, function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
    
    Jestli to chapu dobre, tak to veskere predane parametry prozene pres funkci trim() a mysql_real_escape_string().

    Tedy ptam se: staci to takhle? A k cemu je tam prosimvas ta promenna $k, ktera se tam nikde dal nepouzije?

    Dekuji

    Odpovědi

    22.1.2015 22:02 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Pravděpodobně to stačí, ale záleží na tom, jak se s těmi řetězci dále pracuje.

    $k je klíč v tom poli, které se prochází.
    22.1.2015 23:16 Petr Rapouch
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Dekuji!

    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?

    Prip. jestli je moznost "to neco" vygrepovat ze zdrojaku, abych se mohl presvedcit, ze se to tam nedeje?

    Ted jsem treba zkousel grepovat, jestli se promenne nepouzivaji v nazvech souboru, ktere se natahuji za behu. A podle vseho nepouzivaji.

    Dekuji za Vas cas
    Jendа avatar 23.1.2015 09:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Funkční problém vznikne, když řetězec neuložíš do databáze, ale hned vypíšeš klientovi - bude escapovaný. Postupně se takhle třeba při každém editu budou exponenciálně nabalovat backslashe,
    Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?
    Třeba když se bude dekódovat z urlencode/base64, takže tam můžou vzniknout znaky, které původní escape neviděl. Nebo když se budou dělat nějaké substituce regexpem, takže třeba hacker dokáže aplikaci přinutit, aby smazala backslashe.
    23.1.2015 20:17 Sten
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Např. pokud ten řetězec uložíte do databáze, příště ho načtete a znovu použijete v SQL. Nebo pokud ho odescapujete, abyste ho mohl zobrazit, a použijete v SQL.
    24.1.2015 10:23 Kit
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Tohle je dobrá ukázka.
    23.1.2015 09:52 Kit | skóre: 45 | Brno
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Správně to není, protože vstupy mají zůstat immutable. Databázi by to však ochránit mělo.

    Funkce mysql_real_escape_string() by se měla použít až těsně před slepením SQL dotazu. Používá se totiž jen pro stringy - na čísla je nutné použít jiný typ ošetření vstupu.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    Josef Kufner avatar 23.1.2015 10:27 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jak už bylo řečeno, budou se ti množit lomítka a nemusí to vždy zafungovat.

    Projdi celou aplikaci a uprav to na používání PDO s placeholdery. Měla by to být relativně snadná uprava, pokud si pečlivě připravíš funkci, která bude dobře sedět do stávajícího kódu. Pak můžeš tyto dva ošklivé řádky smazat a aplikace bude bezpečná a funkční.
    Hello world ! Segmentation fault (core dumped)
    23.1.2015 13:55 Filip Jirsák
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Proti jednoduchému SQL injection by to chránit mělo, jak píšou ostatní. Ovšem je to založené na předpokladu, že mysql_real_escape_string parsuje SQL absolutně stejně, jako parser dotazů v MySQL. Takže pořád existuje nepatrná možnost, že budete mít třeba jinak nakonfigurované PHP a jinak MySQL (třeba znakovou sadu), nebo bude nepatrná odchylka v parseru, a útočník dokáže tuto „ochranu“ pokořit. Nebyl by to klasický útok pomocí ';, ale něco sofistikovanějšího.

    Josef Kufner avatar 24.1.2015 16:59 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection
    Jinak přesně tohle kdysi dělaly magic quotes, ale to už naštěstí bylo z PHP odstraněno. Tak se můžeš podívat, proč je nepoužívat – je to i odpověď na tvou otázku.
    Hello world ! Segmentation fault (core dumped)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.