[PHP] SQL-INJECTION

[bio n3t]

Ciao a tutti, premetto che programmo in PHP da pochissimo. Ho sentito parlare di SQL-Injection dal mio prof e mi sono informato su cos'è. Ho capito il funzionamento, ma per prevenire questi attacchi non ho le idee chiarissime... però mi è venuta in mente una soluzione (che probabilmente esiste già) cioè controllare col javascript ogni singolo carattere inserito nel form (ad esempio dando un range dei caratteri ASCII validi) e se qualche carattere può risultare pericoloso il login fallisce, altrimenti si procede con lo script di login. Può essere un idea fattibile? Ce ne sono altre molto più semplici da implementare? La mia idea è facilmente bypassabile? Grazie a tutti quelli che risponderanno in anticipo

[vizzz]

Quote:

Originariamente inviato da bio n3t

Ciao a tutti, premetto che programmo in PHP da pochissimo. Ho sentito parlare di SQL-Injection dal mio prof e mi sono informato su cos'è. Ho capito il funzionamento, ma per prevenire questi attacchi non ho le idee chiarissime... però mi è venuta in mente una soluzione (che probabilmente esiste già) cioè controllare col javascript ogni singolo carattere inserito nel form (ad esempio dando un range dei caratteri ASCII validi) e se qualche carattere può risultare pericoloso il login fallisce, altrimenti si procede con lo script di login. Può essere un idea fattibile? Ce ne sono altre molto più semplici da implementare? La mia idea è facilmente bypassabile? Grazie a tutti quelli che risponderanno in anticipo

http://it.wikipedia.org/wiki/SQL_injection

queste sono le idee di base, conta che esistono funzioni specifiche di php proprio per queste necessità e anche funzioni specifiche per il motore sql (ad esempio per mysql)

[amedeoviscido]

Utilizzare solo javascript non è abbastanza, basta infatti avere un tool specifico per disabilitarlo, così la tua protezione cadrebbe.

La prima cosa da fare è vietare l'utilizzo del carattere di apice nei campi username e password, se li utilizzi tu all'interno delle query sql; questo però non è abbastanza, in quanto potrebbero utilizzare dei valori che fanno inceppare l'engine sql. Bisogna fare uno studio approfondito che, come già suggerito, dipende dal motore sql che utilizzi.

Una veloce ricerca ha tirato fuori questo esempio:

Codice:

<?php
// Quote variable to make safe
function quote_smart($value)
{
  // Stripslashes
  if (get_magic_quotes_gpc()) {
      $value = stripslashes($value);
  }
  // Quote if not a number or a numeric string
  if (!is_numeric($value)) {
      $value = "'" . mysql_real_escape_string($value) . "'";
  }
  return $value;
}

// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
  OR die(mysql_error());
// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
          quote_smart($_POST['username']),
          quote_smart($_POST['password']));

mysql_query($query);
?>

[nuovoUtente86]

Javascript non serve a nulla in questi casi, perchè la richiesta può essere inviata bypassando il js stesso.

[Barbalbero]

L'utilizzo di JEE invece di PHP è un buon rimedio

[nuovoUtente86]

Quote:

Originariamente inviato da Barbalbero

L'utilizzo di JEE invece di PHP è un buon rimedio

Non vuol dire assolutamente nulla. Tutti i linguaggi server side forniscono gli strumenti necessari, a patto che il programmatore sia in grado di saperli far fruttare.
Per quanto nn mi piaccia il PHP non è in questa circostanza che si può mettere in evidenza la superiorità di altri linguaggi come J2EE.

[Barbalbero]

io parlo per esperienza personale. Non conosco molto php, ma conosco bene il problema della injection. In JEE l'injection è difficile che funzioni persino se il progettista si impegna a fare in modo che funzioni.

Esempio:

Codice:

public boolean login(String username, String password) {
        Query q=em.createQuery("FROM Utente u WHERE u.username=:PARAM");
        q.setParameter("PARAM", username);
        Utente u =(Utente)q.getSingleResult();
        if(u.getPassword().equals(password)) return true;
        else return false;
}

Il controllo della password viene fatto tramite codice java, pertanto non è soggetto al tipico "or username=username" nel WHERE (per fare un esempio, non ricordo la sintassi).
Inoltre ho provato anche a inserire injection con DROP TABLE ecc, prese da siti qua e là e non hanno mai funzionato, senza che io progettista nemmeno ci pensassi ad evitare che funzionassero.
Infine utilizzando JPQL invece di SQL puro si rende la vita ancora più difficile all'aspirante hacker

[tomminno]

Quote:

Originariamente inviato da Barbalbero

io parlo per esperienza personale. Non conosco molto php, ma conosco bene il problema della injection. In JEE l'injection è difficile che funzioni persino se il progettista si impegna a fare in modo che funzioni.

Esempio:

Codice:

public boolean login(String username, String password) {
        Query q=em.createQuery("FROM Utente u WHERE u.username=:PARAM");
        q.setParameter("PARAM", username);
        Utente u =(Utente)q.getSingleResult();
        if(u.getPassword().equals(password)) return true;
        else return false;
}

Il controllo della password viene fatto tramite codice java, pertanto non è soggetto al tipico "or username=username" nel WHERE (per fare un esempio, non ricordo la sintassi).
Inoltre ho provato anche a inserire injection con DROP TABLE ecc, prese da siti qua e là e non hanno mai funzionato, senza che io progettista nemmeno ci pensassi ad evitare che funzionassero.
Infine utilizzando JPQL invece di SQL puro si rende la vita ancora più difficile all'aspirante hacker

Beh stai attribuendo al linguaggio JEE una caratteristica del DBMS che sono i prepared statement.
Che mi dici di questo?

Codice:

$dbConnection = new mysqli("localhost", "user", "pass", "db");
$statement = $dbConnection->prepare("SELECT * FROM Utente u WHERE u.username = ?");
$statement->bind_param("s", $username);
$statement->execute();

Fa esattamente quello che hai scritto te in Java (nel mio caso verso MySQL).
Come vedi in questo caso il linguaggio non c'entra niente.

[demos88]

se usi il php, penso che una funzione addslashes() possa prevenire la maggior parte dei tentativi (banali) di injection.
Eventualmente la funzione dedicata per il mysql è mysql_real_escape_string.
In pratica non fa altro che aggiungere dei caratteri di escape prima dei caratteri speciali. Rimangono fuori alcuni caratteri quali % che viene usato nella sintassi del LIKE, eventualmente lo correggi a mano, sempre via php.

[bio n3t]

ok alcune cose le ho capite cioè quello che mi interessava.. alcuni di voi sono troppo tecnici non mi sforzo nemmeno a cercare di capire
comunque il link di wikipedia è molto esaustivo grazie.
quindi ci sono gli strumenti apposta lato server è inutile che provo altri metodi.
vi ringrazio! ciao!

[nuovoUtente86]

Quote:

Originariamente inviato da tomminno

Beh stai attribuendo al linguaggio JEE una caratteristica del DBMS che sono i prepared statement.
Che mi dici di questo?

Codice:

$dbConnection = new mysqli("localhost", "user", "pass", "db");
$statement = $dbConnection->prepare("SELECT * FROM Utente u WHERE u.username = ?");
$statement->bind_param("s", $username);
$statement->execute();

Fa esattamente quello che hai scritto te in Java (nel mio caso verso MySQL).
Come vedi in questo caso il linguaggio non c'entra niente.

Lui non ha utilizzato utilizzato gli statement, ma ha sfruttato le potenzialità lato container attraverso gli ejb session ed entity. Ma concordo pienamente con il fatto che i controlli siano fattibili con qualsiasi linguaggio, anche se devo dire che il tuo codice non mi sembra del tutto immune, ma bisognerebbe vederlo tutto.

[tomminno]

Quote:

Originariamente inviato da nuovoUtente86

Lui non ha utilizzato utilizzato gli statement, ma ha sfruttato le potenzialità lato container attraverso gli ejb session ed entity. Ma concordo pienamente con il fatto che i controlli siano fattibili con qualsiasi linguaggio,

Quello però non ha niente a che vedere con la protezione da sql injection, è solo un livello di astrazione in più dovuto all'ORM che mappa la tabella su un oggetto.
Scrivere:

Codice:

"FROM Utente u WHERE u.username=:PARAM"
q.setParameter("PARAM", username);

Indica una query parametrica a cui viene fatto il bind con la variabile username allo stesso identico modo di questo:

Codice:

"SELECT * FROM Utente u WHERE u.username = ?"
$statement->bind_param("s", $username);//s indica che la variabile username è di tipo stringa

Linguaggio diverso ma la sostanza non cambia, il livello di protezione da sql injection è il medesimo.
Con questo codice posso benissimo evitare i controlli per i classici casi di inserimento/ricerca per cognomi contenenti il carattere ' è il dbms che sa che tutto quello che gli sto passando sono dati e non dati con istruzioni.

Quote:

anche se devo dire che il tuo codice non mi sembra del tutto immune, ma bisognerebbe vederlo tutto.

I difetti che puoi riscontrare sono gli stessi dell'equivalente in Java o qualunque altro linguaggio.
Senza ulteriori controlli a monte gli attacchi injection che possono andare a segno sono quelli che fanno schiantare il dbms con sequenze particolari di dati, ma questo rientrerebbe più nei bug di sicurezza del dbms che non del codice utente.
Chiaramente il mio era solo un codice di esempio che traduceva il codice java di cui sopra per quanto riguarda la parte di sql injection.

[ckingpin]

ciao, ti passo la funzione che ho creato anni fà per l'esame di php

Codice:

// controlla i valori nell'array $_POST
    function SQL_Injection(){	
  		foreach ($_POST as $chiave => $elemento) {
      // elimino i caratteri _ e % sensibili per le query sql con LIKE
    	$_POST["$chiave"] = str_replace("_", "", $_POST["$chiave"]); 
    	$_POST["$chiave"] = str_replace("%", "", $_POST["$chiave"]);
			//sostituisco le parentesi angolari, onde evitare la creazione di codice html
			$_POST["$chiave"] = str_replace("<", "&lt;", $_POST["$chiave"]);
			$_POST["$chiave"] = str_replace(">", "&gt;", $_POST["$chiave"]);
    	//rimuovo gli spazi all'inizio e alla fine
			$_POST["$chiave"] = trim($_POST["$chiave"]);
			// se magic_quotes_gpc è disattivo, mi appoggio a mysql_real_escape_string() contro attacco di tipo SQL Injection
    		 if ( !get_magic_quotes_gpc() ) {
         // e quoto i caratteri \ " ' sensibili per php
    		 $_POST["$chiave"] = mysql_real_escape_string($_POST["$chiave"]);
    	   }
  		}
		}

ti basta invocarla ogni volta che c'è un post di dati da una form, questa funzione si spazzola tutto l'array POST e previene sia l'injection di sql sia di html sia di php (e trimma anche gli spazi e fà anche il caffè...giacchè ci si trova )

[bio n3t]

Quote:

Originariamente inviato da ckingpin

ciao, ti passo la funzione che ho creato anni fà per l'esame di php

Codice:

// controlla i valori nell'array $_POST
    function SQL_Injection(){	
  		foreach ($_POST as $chiave => $elemento) {
      // elimino i caratteri _ e % sensibili per le query sql con LIKE
    	$_POST["$chiave"] = str_replace("_", "", $_POST["$chiave"]); 
    	$_POST["$chiave"] = str_replace("%", "", $_POST["$chiave"]);
			//sostituisco le parentesi angolari, onde evitare la creazione di codice html
			$_POST["$chiave"] = str_replace("<", "&lt;", $_POST["$chiave"]);
			$_POST["$chiave"] = str_replace(">", "&gt;", $_POST["$chiave"]);
    	//rimuovo gli spazi all'inizio e alla fine
			$_POST["$chiave"] = trim($_POST["$chiave"]);
			// se magic_quotes_gpc è disattivo, mi appoggio a mysql_real_escape_string() contro attacco di tipo SQL Injection
    		 if ( !get_magic_quotes_gpc() ) {
         // e quoto i caratteri \ " ' sensibili per php
    		 $_POST["$chiave"] = mysql_real_escape_string($_POST["$chiave"]);
    	   }
  		}
		}

ti basta invocarla ogni volta che c'è un post di dati da una form, questa funzione si spazzola tutto l'array POST e previene sia l'injection di sql sia di html sia di php (e trimma anche gli spazi e fà anche il caffè...giacchè ci si trova )

hehehe perfetto mi sei stato utilissimo per capire... soprattutto perchè è molto semplice grazie ai commenti... grazie!!

[ckingpin]

Quote:

Originariamente inviato da bio n3t

hehehe perfetto mi sei stato utilissimo per capire... soprattutto perchè è molto semplice grazie ai commenti... grazie!!

all'epoca ero diligente e commentavo tutto (grazie al c.... scrivevo 10 righe di codice al giorno... )

[malocchio]

Quote:

Originariamente inviato da ckingpin

ciao, ti passo la funzione che ho creato anni fà per l'esame di php

Codice:

// controlla i valori nell'array $_POST
    function SQL_Injection(){	
  		foreach ($_POST as $chiave => $elemento) {
      // elimino i caratteri _ e % sensibili per le query sql con LIKE
    	$_POST["$chiave"] = str_replace("_", "", $_POST["$chiave"]); 
    	$_POST["$chiave"] = str_replace("%", "", $_POST["$chiave"]);
			//sostituisco le parentesi angolari, onde evitare la creazione di codice html
			$_POST["$chiave"] = str_replace("<", "&lt;", $_POST["$chiave"]);
			$_POST["$chiave"] = str_replace(">", "&gt;", $_POST["$chiave"]);
    	//rimuovo gli spazi all'inizio e alla fine
			$_POST["$chiave"] = trim($_POST["$chiave"]);
			// se magic_quotes_gpc è disattivo, mi appoggio a mysql_real_escape_string() contro attacco di tipo SQL Injection
    		 if ( !get_magic_quotes_gpc() ) {
         // e quoto i caratteri \ " ' sensibili per php
    		 $_POST["$chiave"] = mysql_real_escape_string($_POST["$chiave"]);
    	   }
  		}
		}

ti basta invocarla ogni volta che c'è un post di dati da una form, questa funzione si spazzola tutto l'array POST e previene sia l'injection di sql sia di html sia di php (e trimma anche gli spazi e fà anche il caffè...giacchè ci si trova )

Per queste cose molto delicate non ci si può affidare a soluzioni self-made. Non puoi mai sapere che non ti scappi qualche possibile exploit, e comunque devi essere molto preparato nei dettagli.
Secondo me è meglio usare funzioni dedicate specificatamente allo scopo, come la mysql_escape_string().
In PHP io ho utilizzato SEMPRE i prepared statements. Sono comodi e sicuri (non posso dirlo al 100%, però...).

Quote:

Originariamente inviato da ckingpin

all'epoca ero diligente e commentavo tutto (grazie al c.... scrivevo 10 righe di codice al giorno... )

Il 90% dei commenti che vedo in quel codice non ci vanno. Sarai messo alla gogna

[bio n3t]

volevo chiedervi un'altra cosa dato che mi sembrate preparatissimi in materia:
avete presente il codice che genera adobe dreamweaver automaticamente se si crea un recordset? ecco... quel codice mi sembra incomprensibile in alcuni punti che vi farò vedere... (cioè solo la parte iniziale dove effettua la connessione (quindi non parlo del ciclo che scrive i dati)). due domande:
1_ vi sembra buono come codice a livello di sicurezza e ottimizzazione? (a parte la query che ho fatto ora: SELECT * FROM tblUtenti)
2_ potreste descrivermi brevemente cosa fa codice? perchè vista così mi crea molta confusione... ve lo riporto qui.
GRAZIE!!

Codice PHP:

<?php require_once('configurazione_connessione.php'); ?>
<?php
if (!function_exists("GetSQLValueString")) { // non capisco
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") // non capisco
{
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; // non capisco

  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); // non capisco

  switch ($theType) { // non capisco proprio nulla XD
    case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int":
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double":
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
      break;
    case "date":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
}

// da qui in poi ci arrivo da solo più o meno ;)
mysql_select_db($database_my_bion3t, $my_bion3t);
$query_Recordset1 = "SELECT * FROM tblUtenti";
$Recordset1 = mysql_query($query_Recordset1, $my_bion3t) or die(mysql_error());
$row_Recordset1 = mysql_fetch_assoc($Recordset1);
$totalRows_Recordset1 = mysql_num_rows($Recordset1);
?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Documento senza titolo</title>
</head>

<body>
</body>
</html>
<?php
mysql_free_result($Recordset1); // non capisco
?>

[ckingpin]

Quote:

Originariamente inviato da malocchio

Per queste cose molto delicate non ci si può affidare a soluzioni self-made. Non puoi mai sapere che non ti scappi qualche possibile exploit, e comunque devi essere molto preparato nei dettagli.
Secondo me è meglio usare funzioni dedicate specificatamente allo scopo, come la mysql_escape_string().
In PHP io ho utilizzato SEMPRE i prepared statements. Sono comodi e sicuri (non posso dirlo al 100%, però...).

infatti c'è la escape string

Quote:

Originariamente inviato da malocchio

Il 90% dei commenti che vedo in quel codice non ci vanno. Sarai messo alla gogna

...vedi che ho fatto bene allora a togliermi il vizio di commentare? quei commenti erano didattici e servivano a far capire al prof che avevo capito......

[malocchio]

Quote:

Originariamente inviato da bio n3t

volevo chiedervi un'altra cosa dato che mi sembrate preparatissimi in materia:
avete presente il codice che genera adobe dreamweaver automaticamente se si crea un recordset? ecco... quel codice mi sembra incomprensibile in alcuni punti che vi farò vedere... (cioè solo la parte iniziale dove effettua la connessione (quindi non parlo del ciclo che scrive i dati)). due domande:
1_ vi sembra buono come codice a livello di sicurezza e ottimizzazione? (a parte la query che ho fatto ora: SELECT * FROM tblUtenti)
2_ potreste descrivermi brevemente cosa fa codice? perchè vista così mi crea molta confusione... ve lo riporto qui.
GRAZIE!!

Codice PHP:

<?php require_once('configurazione_connessione.php'); ?>
<?php
if (!function_exists("GetSQLValueString")) { // non capisco
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "") // non capisco
{
  $theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue; // non capisco

  $theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue); // non capisco

  switch ($theType) { // non capisco proprio nulla XD
    case "text":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;    
    case "long":
    case "int":
      $theValue = ($theValue != "") ? intval($theValue) : "NULL";
      break;
    case "double":
      $theValue = ($theValue != "") ? "'" . doubleval($theValue) . "'" : "NULL";
      break;
    case "date":
      $theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
      break;
    case "defined":
      $theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
      break;
  }
  return $theValue;
}
}

// da qui in poi ci arrivo da solo più o meno ;)
mysql_select_db($database_my_bion3t, $my_bion3t);
$query_Recordset1 = "SELECT * FROM tblUtenti";
$Recordset1 = mysql_query($query_Recordset1, $my_bion3t) or die(mysql_error());
$row_Recordset1 = mysql_fetch_assoc($Recordset1);
$totalRows_Recordset1 = mysql_num_rows($Recordset1);
?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Documento senza titolo</title>
</head>

<body>
</body>
</html>
<?php
mysql_free_result($Recordset1); // non capisco
?>

1) Non ha una vera e propria utilità: significa che non crea la funzione se già è stata creata. Considera che è codice auto-creato.

2) get_magic_quotes_gpc() ritorna true o false in base all'impostazione magic_quotes dell'installazione di php, che è una funzionalità intergrata che si occupa di fare l'escape dei dati specificati negli array $_GET e $_POST.
Qui un bel link: LINK (è deprecata)
Se php fa l'escape di suo, viene eseguita la fuzione stripslashes() che annulla l'escape, altrimenti non fa niente ($theValue = $theValue).

3) $theValue è un dato di cui non conosciamo il tipo (sto parlando di tipi del Php). Tramite $theType si specifica il tipo di $theValue che ci si aspetta di avere e si fa la conversione esplita. Sempre che sia questo il tuo dubbio... conosci il costrutto switch...case vero?

4) mysql_free_result() è una funzione usata per chiudere il recordset e liberare la memoria occupata da esso; questo lo rende inutilizzabile.

Lo so che non mi sono spiegato benissimo e in caso chiedi, come sempre

[malocchio]

Quote:

Originariamente inviato da ckingpin

infatti c'è la escape string





...vedi che ho fatto bene allora a togliermi il vizio di commentare? quei commenti erano didattici e servivano a far capire al prof che avevo capito......

Ah sì scusa, ho letto le prime righe e mi sono prevenuto, come sempre

maledetti prof