Suche, Suchoperatoren und MySQL Injections

**wahsaga** · 23.08.2006, 21:21

Re: Suche, Suchoperatoren und MySQL Injections

Original geschrieben von micronax
Das Problem ist jetzt das der Suchstring per GET geliefert wird.

Und wenn er aus der Tasche der Putzfrau käme ...
Wo Daten herkommen, interessiert kein Bisschen.

Da es ja die Suchoperatoren "" gibt muss ich das per GET gelieferte mit stripslashes reinigen da durch Safemode ja Slashes hinzugefügt werden.

Was ist denn das für eine verquere Argumentation?

Die Slashes haben nichts mit dem safe_mode zu tun, sondern mit magic_quotes_gpc.

Da magic_quotes_gpc aktiviert ist, bereinigst du die Daten natürlich mit strip_slashes [1] - Standardvorgehen, würdest du in jedem anderen Fall genauso machen, hat mit Volltextsuche oder nicht nichts zu tun.

Da du die Daten in eine MySQL-Query einsetzen möchtest, behandelst du sie anschließend entsprechend [1] - Standardvorgehen, würdest du in jedem anderen Fall genauso machen, hat mit Volltextsuche oder nicht nichts zu tun.

[1] Da steht natürlich in beiden Fällen ein imaginäres "hoffentlich" dahinter.

Und wo ist jetzt eigentlich dein Problem ...?

**Gast** · 23.08.2006, 22:12

--> http://mysql.com/doc/refman/5.1/de/fulltext-boolean.html

Dafür sind die Operatoren "" und + etc. Optional.

es ist mir so ziemlich egal durch was diese Slashes verursacht werden. Hauptsache ist, wenn ich sie entferne, kann jeder z.B.

seach.php?query='; DROP TABLE config;

eingeben und schon is die Tabelle config weg. Das wäre nicht so optimal. Desshalb habe ich geafragt: "Was könnte man machen damit die Anführungszeichen ordentlich dargestellt werden aber keine SQL Injections möglich sind."

Micronax

**wahsaga** · 23.08.2006, 23:02

Dann überlege dir, wie du "böse" Anführungszeichen von "guten" unterscheiden kannst - und behandle dann nur letztere, bzw. erstere nicht.

**Shurakai** · 23.08.2006, 23:17

Mal unter uns: mysql_query führt nur 1 SQL-Anweisung aus, ein Drop-Table nach einem Select ist nicht möglich.

(Was NICHT heißt dass man nicht viele andere böse Dinge mit SQL-Injections machen kann!)

**Gast** · 24.08.2006, 09:53

Jop. Das meinte ich mit den "bösen" und den "guten". Und mir fällt eben dazu gerade nichts ein, desshalbt habe ich hier Hilfe gesucht.

Micronax

**wahsaga** · 24.08.2006, 10:27

Original geschrieben von micronax
Das meinte ich mit den "bösen" und den "guten". Und mir fällt eben dazu gerade nichts ein

Dann denke intensiver drüber nach.

Erstelle dir ein paar Beispielwerte, die übergeben werden könnten - und versuche sie zu bewerten, ob sie "gut" oder "böse" sind.
Dann sollte auch ein Muster erkennbar werden, welches genauere Überlegungen erlaubt, wie man sich dem Problem weiter nähern kann.

**Gast** · 24.08.2006, 10:31

Ja.. das Problem ist eben, es ist eine Suche. Das heiß es könnte auch jemand nach (ZUM BEISPIEL!) "; DROP TABLE" such oder "SELECT password FROM admin". Man kann nach allem suchen. Und desshalb ist das ja ned so einfach. Ansonsten könnte ich eben einige Wörter aussortieren.

Und noch eine Frage, die nichts mit diesem Thema zu tun hat:
Gibt es irgendeine Funktion (hab auch keine gefunden

) die true zurückgibt wenn STRING in STRING gefunden wurde. Also nichts ersetzen oder so einfach nur finden und TRUE zurückgeben?

Micronax

**wahsaga** · 24.08.2006, 10:36

Original geschrieben von micronax
Ja.. das Problem ist eben, es ist eine Suche. Das heiß es könnte auch jemand nach (ZUM BEISPIEL!) "; DROP TABLE" such oder "SELECT password FROM admin". Man kann nach allem suchen.

Ja, und?

Warum sollte man denn nicht nach DROP TABLE suchen können?

Und noch eine Frage, die nichts mit diesem Thema zu tun hat:
Gibt es irgendeine Funktion (hab auch keine gefunden ) die true zurückgibt wenn STRING in STRING gefunden wurde. Also nichts ersetzen oder so einfach nur finden und TRUE zurückgeben?

Sowas ähnliches zumindest - also schau im verdammten Manual nach.

Dass du offenbar kaum in der Lage bist, auch nur irgendwas selber zu finden, wird auch dadurch nicht witziger, dass du einen Smilie dahintersetzt.

**Gast** · 24.08.2006, 10:43

Wunderbar.. ich habe aber nichts gefunden. Und wenn ich nach 2 Minuten nichts finde, dann finde ich auch nichts nach 2 Stunden.

Jetzt mal ein direktes Beispiel:

Jemand gibt in das Suchfeld folgendes ein:

Code:

'Wozu CSS verwenden

dann wird das am Anfang stehende ' mit in die Abfrage eingefügt.

Dann erhalte ich ein MySQL-Error, weil die Syntax nicht mehr stimmt.

**wahsaga** · 24.08.2006, 10:59

Original geschrieben von micronax
Wunderbar.. ich habe aber nichts gefunden. Und wenn ich nach 2 Minuten nichts finde, dann finde ich auch nichts nach 2 Stunden.

Dann verbessere deine Suchstrategie.

Sollen zwei Minuten etwa ausreichen, um die Lösung für ein Problem zu finden? Vermutlich in den meisten Fällen kaum.

Wenn du aber in zwei Stunden nur genauso viel Leistung zu erbringen in der Lage bist, wie in zwei Minuten - dann hoffe ich nur, dass du dafür nicht bezahlt wirst.

Jetzt mal ein direktes Beispiel:

Du brauchst mir nicht erklären, was SQL-Injection ist.

**Gast** · 24.08.2006, 11:01

So war das nicht gemeint. Problem behoben!

Micronax

Suche, Suchoperatoren und MySQL Injections