אבטחת מסד התחברות? אין בעיה!

[-Smoxer-]

יש לי טופס התחברות מהמסד, איך אני מאבטח אותו?

בשביל לאבטח את המסד אתה צריך לחשוב כמו SQL, ובמילים אחרות יש תווים מיוחדים כמו: גרש ( ' ) הערות ( -- ) וכ'ו
למשל יש לי תופס התחברות (ראה את הקוד הנ"ל) בשפת PHP:

קוד PHP:

$port='localhost:3306';    $user="root";    $password="";    $link = mysql_connect($port, $user, $password);    if (!$link) {           die("לא יכול ליצור קשר עם המסד: " . mysql_error());    }                $db_selected = mysql_select_db("webSQL", $link);    if (!$db_selected) {        die ("לא יכול להיכנס למסד נתונים: " . mysql_error());    }
$UserName = $_REQUEST['User_Name'];        $Password = $_REQUEST['Password'];
$Name = mysql_query("SELECT * FROM Errors WHERE Password = '" . $Password . "';");        $Name_array = mysql_fetch_assoc($Name); 


(אין צורך להמשיך את הקוד, הדברים הבסיסיים נכתבו)
(ה-port הבסיסי ה-3306, חשוב לציין)

התחברות רגילה למסד, הלא כן?
אז זהו שלא!
משתמש רגיל יכול לגשת לשדה הסיסמה ולכתוב:

קוד:

' OR 'Hack'='Hack

והוא רואה את המסד, איך, למה איפה אתם שואלים?
בואו נבחן עוד פעם את הקטעים החשובים ונפרק את הקוד:

קוד PHP:

$Name = mysql_query("SELECT * FROM Errors WHERE Password = '" . $Password . "';"); 


הגדרת משתנה וכניסת אפשרות למסד, נורמטיבי לחלוטין.

קוד PHP:

$Name = mysql_query(" 


פה השורה החשובה:

קוד PHP:

SELECT * FROM Errors WHERE Password = '" . $Password . "'; 


פה החור אבטחה, הדבר שגורם לכל הבעיות והחדירות למערכת.
אם נחשוב טוב נבין שכתבנו סקריפט עם חור אבטחה.

שהמשתמש מקיש את הקוד שצויין הקוד משתלב עם הסקריפט ונותן הרשאה למרות שהסיסמא לא נכונה.

איך פותרים את הבעיה?

שיטה 1:
בעיקרון זאת שיטה מאוד פשוטה, בודקים אם יש את הגרש ( ' ) ומנטרלים אותו, להלן דוגמה ב-PHP:

קוד PHP:

$Password = $_REQUEST['Password'];
$pos = strrpos($Password, "'");
if($pos != 0)
}
//continue of the code
{
else {
echo "There is an error!" ;
} 


פשוט לא?
אנחנו בודקים אם בסיסמא יש לפחות גרש אחד ואם כן זה מדפיס בעיה, אם לא זה ממשיך כרגיל

בהמשך אני אלמד על איך להתגונן בטפסי הרשמה עם החדרת מידע לא רצוי.

שיטה 2 (מומלצת יותר):
להלן דוגמה ב-PHP:

קוד PHP:

<?php$id = $_GET['id'];
$secure = mysql_real_escape_string($id);
$a = mysql_query("SELECT `username` from `users` WHERE `id` = '{$secure}'") ;
$b = mysql_fetch_array($a);
echo $b['username'];
?>

פשוט השיטה mysql_real_escape_string(); מנטרלת את התווים שיכולים לפגוע.
(קרדיט ל-Crazy_Style)

עד פה
בהצלחה בשמירה על המסד!

[_matan_]

תודה על המדריך

[-Smoxer-]

תודה על המדריך

תודה, עוד?

[Crazy_Style]

לא, פשוט לא.
הערה - פורט ברירת המחדל של MYSQL הינו 3306, מיותר לנמק את זה במשתנה $port.
אז strrpos.
ממבט ראשון זה נראה בסדר, אבל יש לא מעט שיטות לעקוף את מה שהצגת.
1. שימוש בNull-Byte:
עד לPHP 5.2, מפרש הPHP היה פגיע להתקפת NULL BYTE, שהייתה מאפשרת לתוקף להכניס את התו הנ"ל ולגרום לסגירת מחרוזת אגרסיבית, ובכך להתחמק ממנגנוני זיהוי.

קוד PHP:

%00' OR '1'='1 


איפה ש%00 לא תוקן, זה יעקוף.

2. שימוש ב%0A
הסימן הזה מסמל ירידת שורה חדשה בשפת SQL (נוסח MySQL). הוא לא עושה כלום, וזה כל הקטע פה - לדחוף אותו בהתחלה, ועברתי את האבטחה שלך.

קוד PHP:

%0A' OR '1'='1 


לא בטוח שזה יעבוד.

3. המרת HTML?
גם, לא ניסיתי, אבל יש לי הרגשה ש%27 במקום ' יכול לעבוד לא רע.
------------------

לא צריך להשתמש בפונקציות שזה לא המטרה שלהם. יש שלוש דרכים עיקריות לאבטח אתר מSQLI בצורה יעילה ו100% בטוחה.
1.

קוד PHP:

mysql_real_escape_string() 


לדוגמא:

קוד PHP:

<?php
$id = $_GET['id'];
$secure = mysql_real_escape_string($id);
$a = mysql_query("SELECT `username` from `users` WHERE `id` = '{$secure}'") ;
$b = mysql_fetch_array($a);
echo $b['username'];
?>

כע, אני עובד הרבה עם משתנים. נוח 3:

הדרך השניה היא שימוש בקלאסים בPHP. הדרך השלישית היא פשוט לעבור לMySQLI כי היא הרבה יותר טובה.

[-Smoxer-]

לא, פשוט לא.
הערה - פורט ברירת המחדל של MYSQL הינו 3306, מיותר לנמק את זה במשתנה $port.
אז strrpos.
ממבט ראשון זה נראה בסדר, אבל יש לא מעט שיטות לעקוף את מה שהצגת.
1. שימוש בNull-Byte:
עד לPHP 5.2, מפרש הPHP היה פגיע להתקפת NULL BYTE, שהייתה מאפשרת לתוקף להכניס את התו הנ"ל ולגרום לסגירת מחרוזת אגרסיבית, ובכך להתחמק ממנגנוני זיהוי.

קוד PHP:

%00' OR '1'='1 


איפה ש%00 לא תוקן, זה יעקוף.

2. שימוש ב%0A
הסימן הזה מסמל ירידת שורה חדשה בשפת SQL (נוסח MySQL). הוא לא עושה כלום, וזה כל הקטע פה - לדחוף אותו בהתחלה, ועברתי את האבטחה שלך.

קוד PHP:

%0A' OR '1'='1 


לא בטוח שזה יעבוד.

3. המרת HTML?
גם, לא ניסיתי, אבל יש לי הרגשה ש%27 במקום ' יכול לעבוד לא רע.
------------------

לא צריך להשתמש בפונקציות שזה לא המטרה שלהם. יש שלוש דרכים עיקריות לאבטח אתר מSQLI בצורה יעילה ו100% בטוחה.
1.

קוד PHP:

mysql_real_escape_string() 


לדוגמא:

קוד PHP:

<?php
$id = $_GET['id'];
$secure = mysql_real_escape_string($id);
$a = mysql_query("SELECT `username` from `users` WHERE `id` = '{$secure}'") ;
$b = mysql_fetch_array($a);
echo $b['username'];
?>

כע, אני עובד הרבה עם משתנים. נוח 3:

הדרך השניה היא שימוש בקלאסים בPHP. הדרך השלישית היא פשוט לעבור לMySQLI כי היא הרבה יותר טובה.

שמע........ לא חשבתי על זה.
מוריד בפניך את הכובע!
אני מוסיף את זה למדריך(אל תדאג אתה תקבל קרדיט)

[Zixem]

1. כותבים טופס.
2. הנ"ל = הנזכר לעיל.
לעיל=למעלה.(וכתבתה מתחת את הקוד).
3. עם mysql_real_escape_string הכי מומלץ ובטוח להשתמש.
4. כמו שאמרו פה, ניתן לעקוף עם Nullbyte או פשוט עם URL ENCODE את פונקציית הstrrpos שלך..(%27)
5. "פשוט השיטה mysql_real_escape_string(); מנטרלת את התווים שיכולים לפגוע." - תסביר מה היא עושה, המילה escape יכולה להגיד הרבה, אבל אתה צריך להסביר. אני אעשה את זה בשבילך.
אסקייפינג הינם תווים מיוחדים שנרשמים עם לוכסן הפוך(סלאש) במחרוזות שמכילות double quotes.
למשל, ירידת שורה זה תו אסקייפינג (\n) גם צלצול פעמון(\a).
הטבלה :

Sequence	Meaning
\n	linefeed (LF or 0x0A (10) in ASCII)
\r	carriage return (CR or 0x0D (13) in ASCII)
\t	horizontal tab (HT or 0x09 (9) in ASCII)
\v	vertical tab (VT or 0x0B (11) in ASCII) (since PHP 5.2.5)
\e	escape (ESC or 0x1B (27) in ASCII) (since PHP 5.4.0)
\f	form feed (FF or 0x0C (12) in ASCII) (since PHP 5.2.5)
\\	backslash
\$	dollar sign
\"	double-quote
\[0-7]{1,3}	the sequence of characters matching the regular expression is a character in octal notation
\x[0-9A-Fa-f]{1,2}	the sequence of characters matching the regular expression is a character in hexadecimal notation

מקור(אם אתה רוצה תשלח לי הודעה פרטית, אין לי עדיין 20 הודעות ואני לא יכול לפרסם לינקים)
אז האסקייפינג בעצם ימנע פתיחת מחרוזת ללא סגירה. משמע - לא תהיה שגיאת MySQL
5. אתה לא מלמד את לאבטח את החיבור למסד, אתה מלמד פה איך לבטח את אימות הנתונים בהתחברות משתמש, אז תתקן את הכותרת.

הייתי מתקן אותך עוד אבל אני חושב שcrazy style עבר על רוב מהשגיאות, חוץ מהשגיאות בעברית, זה באמת חורה לעין, תתקן את זה.

סך הכל אחלה מדריך, רואים את הרצון שלך לתרום ולהשקיע כל הכבוד (עם כמה שיפוצים פה ושם, הכל יהיה מעולה).

Zixem

[-Smoxer-]

1. כותבים טופס.
2. הנ"ל = הנזכר לעיל.
לעיל=למעלה.(וכתבתה מתחת את הקוד).
3. עם mysql_real_escape_string הכי מומלץ ובטוח להשתמש.
4. כמו שאמרו פה, ניתן לעקוף עם Nullbyte או פשוט עם URL ENCODE את פונקציית הstrrpos שלך..(%27)
5. "פשוט השיטה mysql_real_escape_string(); מנטרלת את התווים שיכולים לפגוע." - תסביר מה היא עושה, המילה escape יכולה להגיד הרבה, אבל אתה צריך להסביר. אני יעשה את זה בשבילך.
אסקייפינג הינם תווים מיוחדים שנרשמים עם לוכסן הפוך(סלאש) במחרוזות שמכילות double quotes.
למשל, ירידת שורה זה תו אסקייפינג (\n) גם צלצול פעמון(\a).
הטבלה :

Sequence	Meaning
\n	linefeed (LF or 0x0A (10) in ASCII)
\r	carriage return (CR or 0x0D (13) in ASCII)
\t	horizontal tab (HT or 0x09 (9) in ASCII)
\v	vertical tab (VT or 0x0B (11) in ASCII) (since PHP 5.2.5)
\e	escape (ESC or 0x1B (27) in ASCII) (since PHP 5.4.0)
\f	form feed (FF or 0x0C (12) in ASCII) (since PHP 5.2.5)
\\	backslash
\$	dollar sign
\"	double-quote
\[0-7]{1,3}	the sequence of characters matching the regular expression is a character in octal notation
\x[0-9A-Fa-f]{1,2}	the sequence of characters matching the regular expression is a character in hexadecimal notation

מקור(אם אתה רוצה תשלח לי הודעה פרטית, אין לי עדיין 20 הודעות ואני לא יכול לפרסם לינקים)
אז האסקייפינג בעצם ימנע פתיחת מחרוזת ללא סגירה. משמע - לא תהיה שגיאת MySQL

הייתי מתקן אותך עוד אבל אני חושב שcrazy style עבר על רוב מהשגיאות, חוץ מהשגיאות בעברית, זה באמת חורה לעין, תתקן את זה.

סך הכל אחלה מדריך, רואים את הרצון שלך לתרום ולהשקיע כל הכבוד (עם כמה שיפוצים פה ושם, הכל יהיה מעולה).

Zixem

בעיקרון כבר הוספתי את ה-mysql_real_escape_string(); כמו ש-Crazy_Style אמר.
בקשר להערות, תודה. אני אנסה להשתפר להבא.

[Zixem]

בעיקרון כבר הוספתי את ה-mysql_real_escape_string(); כמו ש-Crazy_Style אמר.
בקשר להערות, תודה. אני אנסה להשתפר להבא.

כה אבל התכוונתי שתפרט מה האסקייפינג, שאנשים לא סתם ישתמשו בפונקצייה בלי לדעת מה היא עושה, זה יגרום לסיקידיזם.
היא לא "מנטרלת" כמו שאמרתה, אתה עיוותתה חלקית את המשמעות.

[BarneyStinson]

1. כותבים טופס.
2. הנ"ל = הנזכר לעיל.
לעיל=למעלה.(וכתבתה מתחת את הקוד).
3. עם mysql_real_escape_string הכי מומלץ ובטוח להשתמש.
4. כמו שאמרו פה, ניתן לעקוף עם Nullbyte או פשוט עם URL ENCODE את פונקציית הstrrpos שלך..(%27)
5. "פשוט השיטה mysql_real_escape_string(); מנטרלת את התווים שיכולים לפגוע." - תסביר מה היא עושה, המילה escape יכולה להגיד הרבה, אבל אתה צריך להסביר. אני יעשה את זה בשבילך.
אסקייפינג הינם תווים מיוחדים שנרשמים עם לוכסן הפוך(סלאש) במחרוזות שמכילות double quotes.
למשל, ירידת שורה זה תו אסקייפינג (\n) גם צלצול פעמון(\a).
הטבלה :

Sequence	Meaning
\n	linefeed (LF or 0x0A (10) in ASCII)
\r	carriage return (CR or 0x0D (13) in ASCII)
\t	horizontal tab (HT or 0x09 (9) in ASCII)
\v	vertical tab (VT or 0x0B (11) in ASCII) (since PHP 5.2.5)
\e	escape (ESC or 0x1B (27) in ASCII) (since PHP 5.4.0)
\f	form feed (FF or 0x0C (12) in ASCII) (since PHP 5.2.5)
\\	backslash
\$	dollar sign
\"	double-quote
\[0-7]{1,3}	the sequence of characters matching the regular expression is a character in octal notation
\x[0-9A-Fa-f]{1,2}	the sequence of characters matching the regular expression is a character in hexadecimal notation

מקור(אם אתה רוצה תשלח לי הודעה פרטית, אין לי עדיין 20 הודעות ואני לא יכול לפרסם לינקים)
אז האסקייפינג בעצם ימנע פתיחת מחרוזת ללא סגירה. משמע - לא תהיה שגיאת MySQL
5. אתה לא מלמד את לאבטח את החיבור למסד, אתה מלמד פה איך לבטח את אימות הנתונים בהתחברות משתמש, אז תתקן את הכותרת.

הייתי מתקן אותך עוד אבל אני חושב שcrazy style עבר על רוב מהשגיאות, חוץ מהשגיאות בעברית, זה באמת חורה לעין, תתקן את זה.

סך הכל אחלה מדריך, רואים את הרצון שלך לתרום ולהשקיע כל הכבוד (עם כמה שיפוצים פה ושם, הכל יהיה מעולה).

Zixem

יש לך שגיאה אך אני לא אראה אותה כי ביקשת, תקן תקן (;

מדריך לא טוב, אין לי מה להגיד יותר, אתה סקיד וזה הכל. ואל תמחק לי את ההודעה הפעם.
תודה על המדריך מותק.