sk informatico : sql injection

**C.R.** · 15/01/2007, 15:57

Originariamente Scritto da kabodie

get_magic_quotes dice se deve fare l'escape automatico delle variabili GET POST e REQUEST
per fare l'escape automatico si intende rendere i caratteri speciali non speciali, mettendo una / davanti, quindi vanno interpretati come puro testo, e non appunto caratteri speciali.

Quindi, se non è attiva nel php.ini, allora fa l'addslash(), ovvero fa l'escape perchè lo richiami tu tramite quella funzione.
Se invece è attiva nel php.ini, allora non serve fare l'addslashes, anzi, non va proprio fatto, altrimenti te lo trovi 2 volte.
quell'if lì serve proprio per rendere quel codice valido sempre, indifferentemente dal php.ini

Ciao

...Quindi è sufficiente che ci sia questo codice o devo intervenire in altro
modo? (anche nel mio caso, magic_quotes c'è ! Dreamweaver lo usa per
default...)

Cl.

diego72 · 15/01/2007, 15:59

E perchè non segare il problema alla radice e usare query parametriche (o addirittura stored procedure, dove si può)?

**C.R.** · 15/01/2007, 16:00

Originariamente Scritto da diego72

E perchè non segare il problema alla radice e usare query parametriche (o addirittura stored procedure, dove si può)?

Sarebbe carino che tu mi spiegassi cosa sono o dove potermi documentare...

C.

**kabodie** · 15/01/2007, 16:02

Originariamente Scritto da claudioricci

...Quindi è sufficiente che ci sia questo codice o devo intervenire in altro
modo? (anche nel mio caso, magic_quotes c'è ! Dreamweaver lo usa per
default...)

Cl.

usa quel codice generato da dreamweaver
quel codice fa tutti i controlli corretti, se usi quello sei tranquillo

volendo puoi fare altri controlli, con ereg o preg_match (vedi il manuale)
ma è paranoia e basta.

diego72 · 15/01/2007, 16:08

Originariamente Scritto da claudioricci

Sarebbe carino che tu mi spiegassi cosa sono o dove potermi documentare...

C.

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection

(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).

**C.R.** · 15/01/2007, 16:10

Originariamente Scritto da diego72

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
In tal modo il culetto dovrebbe essere un pizzico più protetto dal SQL injection

(Adesso guardo se trovo qualcosa di più comprensibile di quello che ho scritto).

no, no, ho capito....è solo che non so quanto possa essere lunga la cosa
da implementare...

Cmq get_magic_quotes dovrebbe bastare...

Cl.

**kabodie** · 15/01/2007, 16:14

Originariamente Scritto da diego72

Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.

emmm.. temo che sia esattamente quello che stiamo facendo

anche perchè se è statica la query.. non può avere un sql injection

diego72 · 15/01/2007, 16:17

Originariamente Scritto da claudioricci

no, no, ho capito....è solo che non so quanto possa essere lunga la cosa
da implementare...

Cmq get_magic_quotes dovrebbe bastare...

Cl.

Comunque dai un occhio qui:
http://www.petefreitag.com/item/356.cfm

Quando so che un'applicazione dovrà essere sottoposta a security audit, non ammetto query non parametriche in giro per il codice (con grande gioia di chi se le deve riscrivere).

diego72 · 15/01/2007, 16:19

Originariamente Scritto da kabodie

emmm.. temo che sia esattamente quello che stiamo facendo

anche perchè se è statica la query.. non può avere un sql injection

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

**C.R.** · 15/01/2007, 16:21

Originariamente Scritto da diego72

Niet.
Un conto è costruire la query a tocchi usando delle variabili (tra cui alcune immesse dall'utente).
Un ALTRO conto è usare una query con parametri variabili e poi fare un bind.

Nel primo caso se non stai attento te lo infilano, nel secondo caso è più difficile

Non ho modo di riscrivere tutto in quella maniera, e manco lo so fare...
si dovranno accontentare del magic quote del menga...
Cl.