Sicherheit: Input slashen u. register_globals killen

[QCO]

Folgender Code am Anfang eines Script sollte alle an das Script übergebenen Daten sicher machen, indem ggf. addslashes verwendet wird. Damit wird SQL-Injektion unmöglich. Zusätzlich werden, falls register_globals aktiviert ist, diese Variablen gelöscht.

PHP-Code:

if( !@get_magic_quotes_gpc() )
{
    $vars = array(
        array(&$HTTP_GET_VARS, &$_GET),
        array(&$HTTP_POST_VARS, &$_POST),
        array(&$HTTP_COOKIE_VARS, &$_COOKIE),
        array(&$HTTP_POST_FILES, &$_FILES),
        array(&$HTTP_SESSION_VARS, &$_SESSION)
    );

    for($i = 0; $i<count($vars); $i++)
    {
        if( is_array($vars[$i][0]) )
        {
            while( list($k, $v) = each($vars[$i][0]) )
            {
                if( is_array($vars[$i][0][$k]) )
                {
                    while( list($k2, $v2) = each($vars[$i][0][$k]) )
                    {
                        $vars[$i][0][$k][$k2] = addslashes($v2);
                    }
                    @reset($vars[$i][0][$k]);
                }
                else
                {
                    $vars[$i][0][$k] = addslashes($v);
                }
            }
            @reset($vars[$i][0]);

            $vars[$i][1] = $vars[$i][0];
        }
    }

    unset($vars);
}

if( (@get_cfg_var('register_globals') == true) || (@get_cfg_var('register_globals') === false) )
{
    if( is_array($_REQUEST) )
    {
        while( list($k, $v) = each($_REQUEST) )
        {
            unset($$k);
        }
    }
} 


[Stuck Mojo]

Das mit dem magic_quotes isn bissel zu kompliziert, oder?
Ich benutze das hier:

PHP-Code:

   function my_magic_quotes(&$var, $quotes = true) {
      foreach($var AS $key => $value) {
         if (is_array($var[$key])) {
             my_magic_quotes($var[$key],$quotes);
         } else {
             if(get_magic_quotes_gpc() && !$quotes) {
                $var[$key] = stripslashes($var[$key]);
             } else if (!get_magic_quotes_gpc() && $quotes) {
                $var[$key] = addslashes($var[$key]);
             }
         }
      }
   } 


-> http://php3.de/manual/en/function.ge...quotes-gpc.php ...bei den User-Comments. Allerdings hab ichs nochn bissel ausgebaut. Einfach das Array übergeben und fertisch

Gruss
Jan

[QCO]

wieso ist das kompliziert? einmal inlcluden und fertig.
mir ging es einfach darum mit einem script alle eventualitäten zu erschlagen.

[Stuck Mojo]

Naja... das Anwenden nicht aber das Script ansich... so wie ich das sehe arbeitet dein Script nicht rekursiv, sondern du gehst manuell nur bis in die 2te Array-Ebene. Mit einer rekursiven Funktion ist man da besser bedient.

Eine andere Frage, die sich auftut ist die, ob man Session-Daten auch mit Slashes versehen sollte?? Wozu? Spätestens nach dem 2ten Seitenausfruf wären die Daten doch schon "zugeslashed" ... Jeder Aufruf escaped jeden Slash...

Genau das gleiche gilt für $_FILES... da hatte vor einer Weile mal jemand ne Frage zu gestellt (warst du das nicht sogar?)... ob die Daten auch durch magic_quotes escaped werden. Ich konnte es aber bisher auch noch nicht ausprobieren.

Gruss
Jan

[QCO]

ok, das mit den sessions ist richtig. ich hatte damit zwar noch keine probleme aber ggf. werden die wohl mehrfach geslashed.
das gilt aber nicht für $_FILES, denn das wird nicht über mehrere seiten 'mitgeschleppt'. $_FILES besteht aber überwiegend aus daten, die vom browser des users kommen. warum sollen die also nicht auch manipulierbar sein?

[Stuck Mojo]

wie gesagt... mit Files bin ich mir nicht sicher, da ichs auch noch nicht probiert habe diese zu manipulieren...