Přihlášení | Registrace

napište » Zprávičky

Qualcomm kupuje Arduino. Nová deska Arduino UNO Q

dnes 16:33 | IT novinky

Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

Ladislav Hagara | Komentářů: 0

Luanti 5.14.0

dnes 15:55 | Nová verze

Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

Ladislav Hagara | Komentářů: 0

Qt 6.10

dnes 13:22 | Nová verze

Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Ubuntu 26.04 LTS bude Resolute Raccoon

včera 23:55 | Komunita

Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

Ladislav Hagara | Komentářů: 2

Netwide Assembler (NASM) 3.00

včera 21:00 | Nová verze

Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Frugalware Linux ke konci roku 2025 oficiálně končí

včera 20:11 | Komunita

Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

Ladislav Hagara | Komentářů: 0

GIMP 3.0.6

včera 17:22 | Nová verze

Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

AMD uzavřela smlouvu o dodávkách čipů pro OpenAI

včera 16:11 | IT novinky

Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

Ladislav Hagara | Komentářů: 1

OpenSSH 10.1

včera 12:22 | Nová verze

Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z LinuxDays 2025

5.10. 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (39%)

Gitlab (45%)

Atlassian (16%)

Bitbucket (17%)

Gitea (21%)

Mercurial (16%)

jen git (18%)

jen svn (16%)

Jiné (uvedu v diskusi) (16%)

Celkem 187 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Programovací poradna / PHP, MySQL a SQL injection

Štítky: bezpečnost, databáze, MySQL, PHP, programování, SQL

Dotaz: PHP, MySQL a SQL injection

22.1.2015 21:44 Petr Rapouch
PHP, MySQL a SQL injection

Přečteno: 987×

Odpovědět | Admin

Dobry den,

po byvalem kolegovi nam zustal takovy PHP moloch pro evidenci skladu, dodavatelu, odberatelu, faktur, ... Predesilam, ze PHP rozumim jako koza petrzeli. Dostal jsem nicmene za ukol doplnit tam moznost, aby odberatele mohli videt faktury, ktere jsme jim vystavili.

Nejak jsem to uplacal, funguje to, akorat bych rad mel jistotu, ze to nepujde "haknout", nez tam pustim nekoho zvenci.

Vim, uplne vas slysim, co vsechno mi ted chcete napsat. Aby se z toho nestal gulas, pokusim se vase rady trochu usmernit.

V prve rade neni v tom zadny JavaScript. Dale pobezi to na renomovanem webhostingu (nebudu jmenovat, musite mi verit). Dalsi ujisteni shrnu do zkratky: atd...

Verim, ze byste mi radi pomohli i do schodu :) ale ted mi jde fakt vyhradne o to, aby tam nebylo mozne provest SQL injection.

Pouziva to MySQL rozsireni, ktere je "deprecated". Vim, bohuzel je to takovy moloch, ze neni v mych silach to prepsat na MySQLi nebo PDO, ani tam nasadit "prepared statements".

V index.php, hned za prihlasenim do databaze jsem objevil toto:

array_walk_recursive($_GET,  function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});
array_walk_recursive($_POST, function(&$v, $k) {$v = mysql_real_escape_string(trim($v));});

Jestli to chapu dobre, tak to veskere predane parametry prozene pres funkci trim() a mysql_real_escape_string().

Tedy ptam se: staci to takhle? A k cemu je tam prosimvas ta promenna $k, ktera se tam nikde dal nepouzije?

Dekuji

Nástroje: Začni sledovat (0) ?

Odpovědi

22.1.2015 22:02 Sten
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Pravděpodobně to stačí, ale záleží na tom, jak se s těmi řetězci dále pracuje.

$k je klíč v tom poli, které se prochází.

22.1.2015 23:16 Petr Rapouch
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Dekuji!

Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?

Prip. jestli je moznost "to neco" vygrepovat ze zdrojaku, abych se mohl presvedcit, ze se to tam nedeje?

Ted jsem treba zkousel grepovat, jestli se promenne nepouzivaji v nazvech souboru, ktere se natahuji za behu. A podle vseho nepouzivaji.

Dekuji za Vas cas

23.1.2015 09:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Funkční problém vznikne, když řetězec neuložíš do databáze, ale hned vypíšeš klientovi - bude escapovaný. Postupně se takhle třeba při každém editu budou exponenciálně nabalovat backslashe,

Jen jeste prosim o upresneni "co" napriklad, by se s temi retezci mohlo dit, aby vznikl problem?

Třeba když se bude dekódovat z urlencode/base64, takže tam můžou vzniknout znaky, které původní escape neviděl. Nebo když se budou dělat nějaké substituce regexpem, takže třeba hacker dokáže aplikaci přinutit, aby smazala backslashe.

23.1.2015 20:17 Sten
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Např. pokud ten řetězec uložíte do databáze, příště ho načtete a znovu použijete v SQL. Nebo pokud ho odescapujete, abyste ho mohl zobrazit, a použijete v SQL.

24.1.2015 10:23 Kit
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Tohle je dobrá ukázka.

23.1.2015 09:52 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Správně to není, protože vstupy mají zůstat immutable. Databázi by to však ochránit mělo.

Funkce mysql_real_escape_string() by se měla použít až těsně před slepením SQL dotazu. Používá se totiž jen pro stringy - na čísla je nutné použít jiný typ ošetření vstupu.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

23.1.2015 10:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Jak už bylo řečeno, budou se ti množit lomítka a nemusí to vždy zafungovat.

Projdi celou aplikaci a uprav to na používání PDO s placeholdery. Měla by to být relativně snadná uprava, pokud si pečlivě připravíš funkci, která bude dobře sedět do stávajícího kódu. Pak můžeš tyto dva ošklivé řádky smazat a aplikace bude bezpečná a funkční.

Hello world ! Segmentation fault (core dumped)

23.1.2015 13:55 Filip Jirsák
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Proti jednoduchému SQL injection by to chránit mělo, jak píšou ostatní. Ovšem je to založené na předpokladu, že mysql_real_escape_string parsuje SQL absolutně stejně, jako parser dotazů v MySQL. Takže pořád existuje nepatrná možnost, že budete mít třeba jinak nakonfigurované PHP a jinak MySQL (třeba znakovou sadu), nebo bude nepatrná odchylka v parseru, a útočník dokáže tuto „ochranu“ pokořit. Nebyl by to klasický útok pomocí ';, ale něco sofistikovanějšího.

24.1.2015 16:59 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP, MySQL a SQL injection

Jinak přesně tohle kdysi dělaly magic quotes, ale to už naštěstí bylo z PHP odstraněno. Tak se můžeš podívat, proč je nepoužívat – je to i odpověď na tvou otázku.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje