Sicherheit: Input slashen u. register_globals killen

QCO · 22.08.2003, 14:17

Folgender Code am Anfang eines Script sollte alle an das Script übergebenen Daten sicher machen, indem ggf. addslashes verwendet wird. Damit wird SQL-Injektion unmöglich. Zusätzlich werden, falls register_globals aktiviert ist, diese Variablen gelöscht.

PHP-Code:


			
if( !@get_magic_quotes_gpc() )

{

    $vars = array(

        array(&$HTTP_GET_VARS, &$_GET),

        array(&$HTTP_POST_VARS, &$_POST),

        array(&$HTTP_COOKIE_VARS, &$_COOKIE),

        array(&$HTTP_POST_FILES, &$_FILES),

        array(&$HTTP_SESSION_VARS, &$_SESSION)

    );



    for($i = 0; $i<count($vars); $i++)

    {

        if( is_array($vars[$i][0]) )

        {

            while( list($k, $v) = each($vars[$i][0]) )

            {

                if( is_array($vars[$i][0][$k]) )

                {

                    while( list($k2, $v2) = each($vars[$i][0][$k]) )

                    {

                        $vars[$i][0][$k][$k2] = addslashes($v2);

                    }

                    @reset($vars[$i][0][$k]);

                }

                else

                {

                    $vars[$i][0][$k] = addslashes($v);

                }

            }

            @reset($vars[$i][0]);



            $vars[$i][1] = $vars[$i][0];

        }

    }



    unset($vars);

}



if( (@get_cfg_var('register_globals') == true) || (@get_cfg_var('register_globals') === false) )

{

    if( is_array($_REQUEST) )

    {

        while( list($k, $v) = each($_REQUEST) )

        {

            unset($$k);

        }

    }

}

Stuck Mojo · 22.08.2003, 18:00

Das mit dem magic_quotes isn bissel zu kompliziert, oder?
Ich benutze das hier:

PHP-Code:


			
   function my_magic_quotes(&$var, $quotes = true) {

      foreach($var AS $key => $value) {

         if (is_array($var[$key])) {

             my_magic_quotes($var[$key],$quotes);

         } else {

             if(get_magic_quotes_gpc() && !$quotes) {

                $var[$key] = stripslashes($var[$key]);

             } else if (!get_magic_quotes_gpc() && $quotes) {

                $var[$key] = addslashes($var[$key]);

             }

         }

      }

   }

-> http://php3.de/manual/en/function.ge...quotes-gpc.php ...bei den User-Comments. Allerdings hab ichs nochn bissel ausgebaut. Einfach das Array übergeben und fertisch

Gruss
Jan

QCO · 22.08.2003, 19:57

wieso ist das kompliziert? einmal inlcluden und fertig.
mir ging es einfach darum mit einem script alle eventualitäten zu erschlagen.

Stuck Mojo · 25.08.2003, 07:58

Naja... das Anwenden nicht aber das Script ansich... so wie ich das sehe arbeitet dein Script nicht rekursiv, sondern du gehst manuell nur bis in die 2te Array-Ebene. Mit einer rekursiven Funktion ist man da besser bedient.

Eine andere Frage, die sich auftut ist die, ob man Session-Daten auch mit Slashes versehen sollte?? Wozu? Spätestens nach dem 2ten Seitenausfruf wären die Daten doch schon "zugeslashed"

... Jeder Aufruf escaped jeden Slash...

Genau das gleiche gilt für $_FILES... da hatte vor einer Weile mal jemand ne Frage zu gestellt (warst du das nicht sogar?)... ob die Daten auch durch magic_quotes escaped werden. Ich konnte es aber bisher auch noch nicht ausprobieren.

Gruss
Jan

QCO · 25.08.2003, 08:41

ok, das mit den sessions ist richtig. ich hatte damit zwar noch keine probleme aber ggf. werden die wohl mehrfach geslashed.
das gilt aber nicht für $_FILES, denn das wird nicht über mehrere seiten 'mitgeschleppt'. $_FILES besteht aber überwiegend aus daten, die vom browser des users kommen. warum sollen die also nicht auch manipulierbar sein?

Stuck Mojo · 25.08.2003, 08:46

wie gesagt... mit Files bin ich mir nicht sicher, da ichs auch noch nicht probiert habe diese zu manipulieren...