SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

TYPO3 Kochbuch

TYPO3 Kochbuch zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 26.11.2010, 00:46:04
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
Hex / Nullbyte-attacken verhindern

Heyho ... liebe gemeinde

Ich bekomme nen krampf anfangs hatte ich bei sqlinject me keine probleme ...
und nun scheinbar schon ...

besonders bei den hex und nullbyte angriffen...

Was mache ich am besten um diese art von angriffen so gut es geht auszuschließen.
Ich hab gerade irgentwie ein logisches brett vorm kopf. :(

Oder eher gesagt was wäre ein möglicher weg zu einer überprüfung auf hex die dan verhindert das mein query abgesendet wird oder ein übergebener string sein ziel erreicht ?

über hilfreiche vorschläge wäre ich erfreut.

lg
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #2  
Alt 26.11.2010, 00:52:26
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 15
Beiträge: 2.269
AW: Hex / Nullbyte-attacken verhindern

Hmm....
Warum greift Escapen nicht?
Prepared Statements?
Welche DB verwendest du?

Wie du schon siehst, kapiere ich dein Problem nicht.
Haste mal ein mini Beispiel?
Mit Zitat antworten
  #3  
Alt 26.11.2010, 01:22:49
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Hex / Nullbyte-attacken verhindern

das isses ja ich auch nicht ... beispiel hmm ja klar ..

ich verwende ein mvc und rufe in jeder funktion die mysql verwendet eine schleife sollten meine vorbedingungen stimmen (keine leeren strings bestimmte daten von fornherein definiert ect.) wird nach dem verbinden zum server diese schleife ausgeführt:

PHP-Code:
<?php
foreach($sqldata as $key => $value) {
  
$sqldata[$key] = mysql_real_escape_string($value);
}
?>
Also ich übergebe die daten in ein array und filtere sie dan und gebe die jeweiligen arrayposition an die richtige stelle im query ...
somit dachte ich eigentlich ich wäre sicher aber scheinbar hab ich mich da ein bissl überschätzt ...


Serverversion ist:
Apache/2.2.14 (Win32) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l mod_autoindex_color PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1
MySQL-Client-Version: 5.1.41


lg
R4Zz0r
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #4  
Alt 26.11.2010, 01:38:27
DokuLeseHemmung DokuLeseHemmung ist offline
SELFPHP Experte
 
Registriert seit: Jun 2008
Alter: 15
Beiträge: 2.269
AW: Hex / Nullbyte-attacken verhindern

Die Schleife sieht ja (jetzt) richtig aus.
Müsste doch funktionieren.

Alternativ:
PHP-Code:
$geschützteDaten array_map('mysql_real_escape_string',$vorbereitetesArray); 
Aber was soll denn bei mysql_real_escape_string() noch durch kommen?
Nullbytes werden ordentlich escaped und in die DB geschrieben.
Und beim auslesen sind sie wieder da.
Mit Zitat antworten
  #5  
Alt 26.11.2010, 01:46:35
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Hex / Nullbyte-attacken verhindern

uii ... danke für den tipp mit array_map da wär ich doch glatt blöd weiter die schleife zu benutzen :D

Zitat:
Die Schleife sieht ja (jetzt) richtig aus.
Joa kleiner tippfehler den ich übersehen hatte :D

lg
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #6  
Alt 26.11.2010, 02:24:38
Ckaos Ckaos ist offline
Member
 
Registriert seit: Nov 2007
Beiträge: 843
AW: Hex / Nullbyte-attacken verhindern

Hi

ohne weiter ins Detail zu gehen beantworte bitte folgendes:
1. Welches mvc?
2. Wie werden deine Daten übergeben / wie nimmst du sie an?
3. Wie bist du auf das Problem gestoßen?
4. Wie hast du es nachvollzogen?
...........

mfg

CKaos
__________________
"Wenn die Leute Häuser so bauen würden, wie wir Programme schreiben, würde der erstbeste Specht unsere Zivilisation zerhacken."
In den allermeisten Fällen sitzt der Bug etwa 40 cm vor dem Monitor!
Mit Zitat antworten
  #7  
Alt 26.11.2010, 03:16:29
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Hex / Nullbyte-attacken verhindern

Zitat:
1. Welches mvc?
2. Wie werden deine Daten übergeben / wie nimmst du sie an?
3. Wie bist du auf das Problem gestoßen?
4. Wie hast du es nachvollzogen?
1. Eigenkreation
2. Post und Get / typenüberprüfung mit regex behandeln um nur meine benutzen werte zu erlauben und auch mysql_real_escape_string
3&4. Sqlinjectme


Bsp.

Ich benutze variablen um zb ids von forenbeiträgen zu übergeben.

also ist zb. index.php?p=forum&id=1

folgendermaßen behandelt

PHP-Code:
//code zum prüfen ob user rechte hat die datei aufzurufen 
//ob datei existiert
function proof($gettar) {
if((isset(
$getarr['id']))&& (!is_numeric($getarr['id']))) {
  
$getarr['id'] = '0';

__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #8  
Alt 26.11.2010, 10:16:14
Ckaos Ckaos ist offline
Member
 
Registriert seit: Nov 2007
Beiträge: 843
AW: Hex / Nullbyte-attacken verhindern

Hi

Zitat:
3&4. Sqlinjectme
Und nun sollen wir die Glaskugel rausholen?
Sqlinjectme prüft ne Liste an eingaben in Formularen
und wertet die Fehlermeldung aus. Es wäre toll wenn du dir
die mühe machst und sagst auf was genau dein Formular
reagiert. So kann dir genau niemand helfen.

mfg

CKaos

ps: Wenn Sqlinjectme bei dir anschlägt solltest du dir den live-betrieb deiner
Projekte nochmals überlegen und dein fehlendes Scriptwissen mit Fachliteratur
anreichern. Ich habe es nicht geschafft (ohne Server umzukonfigurieren) ein
Formular zu erstellen welches von Sqlinjectme negativ geprüft wurde.
__________________
"Wenn die Leute Häuser so bauen würden, wie wir Programme schreiben, würde der erstbeste Specht unsere Zivilisation zerhacken."
In den allermeisten Fällen sitzt der Bug etwa 40 cm vor dem Monitor!
Mit Zitat antworten
  #9  
Alt 26.11.2010, 11:17:54
R4Zz0R R4Zz0R ist offline
Junior Member
 
Registriert seit: Sep 2009
Ort: Wetzlar/Kassel
Alter: 35
Beiträge: 201
AW: Hex / Nullbyte-attacken verhindern

zb. bei hex oder nullbyte attacken .[&#49&#39&#32&#79&#82&#32&#39&#49&#39&#61&#39&#49].. aber da du gerade angesprochen hast nicht ohne den server umzukonfigurieren ...

Ich hab mal nachgeshen und scheinbar ist es nur local der fall das diese art von angriffen durchkommt auf den webspaces ist es wieder nicht anfällig für solche angriffe ...

Komisch ....

LG
R4Zz0R
__________________
Wachsen kann man entweder:

Körperlich -> Man wird größer.
^ Ist so von der Evolution gewollt.

Charakter -> Man wird Geduldiger.
^ Man wächst mit der aufgabe

Kopf -> Man wird Klüger.
^ Wenn die aufgabe probleme macht & man trotzdem deine lösung findet.
Mit Zitat antworten
  #10  
Alt 26.11.2010, 13:39:13
Ckaos Ckaos ist offline
Member
 
Registriert seit: Nov 2007
Beiträge: 843
AW: Hex / Nullbyte-attacken verhindern

Hi

Zitat:
Komisch ....
Nich wirklich.

Nen Wamp z.B. is ja in der Grundkonf anders als nen frischer Debian
oder einer mit Confixx oder Plesk ;)
Schau dir dazu mal die phpinfo bei beiden an.

mfg

CKaos
__________________
"Wenn die Leute Häuser so bauen würden, wie wir Programme schreiben, würde der erstbeste Specht unsere Zivilisation zerhacken."
In den allermeisten Fällen sitzt der Bug etwa 40 cm vor dem Monitor!
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
upload per .htaccess verhindern webmark487 Apache HTTP-Server 2 11.02.2009 22:48:59
sql injections etc verhindern? uvo PHP Grundlagen 1 11.08.2006 20:08:12
2 mal das gleiche Ergebnis bei MySQL-Abfrage verhindern Bogi PHP Grundlagen 2 25.06.2006 11:43:01
Zeilenumbruch in Zelle verhindern? silberlocke HTML, CSS und JavaScript Help! 7 05.04.2005 15:18:20
zweimal @ finden, mehrfach eMail verhindern Weblehrling PHP Grundlagen 10 14.12.2004 11:17:17


Alle Zeitangaben in WEZ +2. Es ist jetzt 11:42:19 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt