Sicherheit bei INSERT

[tommy-p]

Hallo,

ich hab ne Frage zur Sicherheit mit PHP und MySQL.

Wenn ich Usern einer Website die Möglichkeit gebe, per Formular Daten in eine MySQL-Datenbank zu schreiben (z.B. Gästebuch, Forum...), kann dieser mit SQL-Befahlen etwas in der Datenbank anrichen? Ich hab mal gelesen, dass man mit bestimmten Befehlen Passwortabfragen austricksen kann. Nun möchte ich wissen, was ein Hacker so alles mit der Datenbank anstellen kann, wenn ich per INSERT seine Formularangaben in eine Datenbank schreibe.

- kann er was löschen?
- kann er die Datenbank zerstören?
- wenn ja - geht das nur in der jeweiligen Tabelle oder ist die gesamte Datenbank betroffen?

Falls es Risiken gibt: wie kann ich die umgehen oder minimieren?

Vielen Dank,
tommy-p

[jonemo]

die einzige gefahr die von solchen formularquerys ausgeht ist, dass der user an eine stelle was schreibt, was er docrt nicht hinschreiben soll. das passiert evtl wenn er anführungszeichen verwendet oder einfach den einen query beendet und nen neuen beginngt, also

" "SELECT * FROM passworttabelle WHERE 1"

schreibt. das ist jetzt sehr vereinfacht, sollte dir aber im prinzip folgendes sagen: du musst alle möglichen sonderzeichen und am besten alle mysql-befehle vorher rausfiltern.

sonst gibts keine mir bekannten probleme.

[Stuck Mojo]

sollte nicht korrektes escapen von Quotes vollkommen ausreichen?
Mir ist es nicht bekannt (bzw. würde mir keine Lösung einfallen), wie man mit escapen quotes in irgendeiner Art den Query manipulieren könnte.
Daher ist das sicherste vor einem Query, auf magic_quotes zu prüfen und bei Bedarf ein addslashes() drüber und schon sollte der Query "einbruchsicher" sein.

Gruss
Jan

[prefix]

also meines wissens sollte das escapen bereits vor der sql-injection reichen (so wie stuck mojo es beschrieben hat).

natürlich kann man zusätzlich noch per regexp auf unerlaubte zeichen überprüfen.

[tommy-p]

Sehr gut. Danke euch!