PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
J

SQL, XSS Injection

Door John De Zon op 04-09-2015 14:53 gewijzigd op 05-09-2015 18:38
4.477 views
Hallo,

ik ben bezig met een registratie script voor m'n website. Ik heb me voorgenomen de beveiliging zo goed als ik kan te maken vanaf het begin.
Is dit script veilig? En waarom geeft mysql_real_escape_string niets terug?


<?php
if($_SERVER['REQUEST_METHOD'] == 'POST') {
    $fname = @$_POST['fname'];
    $lname = @$_POST['lname'];
    $uname = @$_POST['uname'];
    $email = @$_POST['email'];
    $password = @$_POST['password'];
    $checkbox = @$_POST['checkbox'];


    $errors = array();

    if(trim($fname)=='') {
        $errors[] = 'U moet uw voornaam invullen';
    }

    if(trim($lname)=='') {
        $errors[] = 'U moet uw achternaam invullen';
    }

    if(trim($uname)=='') {
        $errors[] = 'U moet uw gebruikersnaam invullen';
    }

    if(trim($email)=='') {
        $errors[] = 'U moet uw email invullen';
    }
    
    if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
        
    } else {
        $errors[] = 'U moet een geldig emailadres invullen';
    }

    if(trim($password)=='') {
        $errors[] = 'U moet uw wachtwoord invullen';
    } else {
        $password = password_hash($password, PASSWORD_DEFAULT);
    }
    
    if(!isset($checkbox)) {
        $errors[] = 'U moet de richtlijnen accepteren';
    }
    
    if ($errors==true) {
        $err = true;
    } else {
        $sql = "INSERT INTO users (
        id, fname, lname, uname, email, password
        ) VALUES (
        '', '" . mysqli_real_escape_string($connection, $fname) . "', '" . mysqli_real_escape_string($connection, $lname) . "', '" . mysqli_real_escape_string($connection, $uname) . "', '" . mysqli_real_escape_string($connection, $email) . "', '" . mysqli_real_escape_string($connection, $password) . "'
        )";
        if(mysqli_query($connection, $sql)) {
            echo 'Succes!';
        } else {
            echo "Error: " . $sql . "<br>" . mysqli_error($connection);
        }
    }
}
?>


Alvast bedankt!!!

Mvg
Ariën
04-09-2015 14:56 gewijzigd op 04-09-2015 15:00
Als je error_reporting op E_ALL en display_errors op 1 zou zetten, dan zou je zien dat er een parameter voor de connectie ontbreekt bij mysqli_real_escape_string.

Zo moet het wel:
<?php
mysqli_real_escape_string($con, $fname);
?>

Verder raad ik aan om even per veld te kijken hoe je het valideert. Want ik heb het idee dat je lukraak gewoon wat regels aan het kopiëren bent. Want je kan prima kijken naar de juiste waarde die er nodig is.

Voor mailadressen is er filter_var('[email protected]', FILTER_VALIDATE_EMAIL);
Voor je checkbox zullen mogelijk vaste waardes zijn, zoals 1 of 0
En voor passwoorden hoe je niet op XSS te controleren. Die worden toch altijd gehashed.
J
John De Zon
04-09-2015 15:01
Dank je, Aar voor de snelle reactie!
Is deze code veilig? Welke extra beveiliging moet ik er nog aan toevoegen om echt veilig te zijn?
Ariën
04-09-2015 15:02 gewijzigd op 04-09-2015 15:04
Zoals ik al zei: Valideer de waardes gewoon met de juiste methodes.
J
John De Zon
04-09-2015 15:03
Had het einde van je vorige post niet gezien sorry!
Ariën
04-09-2015 15:04
Ok.. ;-)


En empty() is overigens ook een vreemde controle die meer toestaan dan je hoopt.
Ik gebruik altijd:

if(trim($var)=='') {
Thomas van den Heuvel
04-09-2015 15:15 gewijzigd op 04-09-2015 15:17
Ik zie nergens character encoding aanduidingen.

Escaping (htmlspecialchars, mysqli_real_escape_string) werkt alleen goed wanneer je met de juiste character encoderingen aan de gang gaat:
(- in de opslag van je code-documenten, maar dit zorgt niet vaak voor problemen)
- in je HTML document
- in je database-connectie
- in je database tabellen

Verder:
Je bent daar INPUT aan het escapen middels (strip_tags, htmlspecialchars).

Waarom doe je dit? Dit wordt niet als een goede bezigheid beschouwd - je past daarmee al op voorhand je rauwe input aan. Dat is nergens voor nodig. Daarnaast escape je deze voor de HTML-context, terwijl je deze data daarna invoegt (en opnieuw escaped) in een SQL-context (met behulp van _real_escape_string).

Nog veel belangrijker dan wat je doet is dat je begrijpt wat je doet.

De algemene stelregel is nog steeds filter input, escape output.

Wat in het bovenstaande script ontbreekt is fatsoenlijke input filtering. Er vanuitgaande dat dit een soort van gebruikers registratie systeem is zou je aan de volgende input filtering kunnen denken:

- als alle invoer verplicht is, kijk of de getrimde variant van de invoer niet leeg is
- als je beperkingen wilt opleggen aan het uiterlijk van een gebruikersnaam, maak dan gebruik van een whitelist (geef aan wat is toegestaan) in plaats van een blacklist (door tags te strippen) en dan maar te hopen dat het resultaat iets is wat niet voor problemen zorgt; het grote nadeel van een blacklist is dat als je een geval vergeet dit geval wordt doorgelaten; daarom is een whitelist meestal beter: je definieert precies wat is toegestaan
- gebruik filter_var voor het e-mailadres en check voor een MX record, of nog beter, stuur gewoon een activatiemail naar het bewuste adres

Haal ook die @ weg en ontwikkel met error_reporting en display_errors aan.

Maak een database-wrapper voor mysqli-functies, zodat je in plaats van mysqli_real_escape_string($connection, $field) een kortere variant kunt gebruiken ($db->escape($field) ofzo) en ook andere zaken makkelijk kunt automatiseren.
J
John De Zon
04-09-2015 18:28
Hoe kan ik een whitelist opzetten? Heb al een deel van de code gewijzigd.
J
Johan K
04-09-2015 18:48 gewijzigd op 04-09-2015 18:51
Thomas van den Heuvel op 04/09/2015 15:15:16
- als alle invoer verplicht is, kijk of de getrimde variant van de invoer niet leeg is

Trimmen is niet slim op een wachtwoord veld. Het is een extra karakter die mensen kunnen gebruiken in hun wachtwoord.

Thomas van den Heuvel op 04/09/2015 15:15:16

- als je beperkingen wilt opleggen aan het uiterlijk van een gebruikersnaam, maak dan gebruik van een whitelist (geef aan wat is toegestaan) in plaats van een blacklist (door tags te strippen) en dan maar te hopen dat het resultaat iets is wat niet voor problemen zorgt; het grote nadeel van een blacklist is dat als je een geval vergeet dit geval wordt doorgelaten; daarom is een whitelist meestal beter: je definieert precies wat is toegestaan

???
Een simpele regex is voldoende -> http://bfy.tw/1daY

Thomas van den Heuvel op 04/09/2015 15:15:16

Maak een database-wrapper voor mysqli-functies, zodat je in plaats van mysqli_real_escape_string($connection, $field) een kortere variant kunt gebruiken ($db->escape($field) ofzo) en ook andere zaken makkelijk kunt automatiseren.

Als er een classe word gemaakt zou het "escapen" eigenlijk automatisch moeten gaan.


Ariën
04-09-2015 18:49
Een reguliere expressie van tekens die mogen.
J
John De Zon
04-09-2015 18:53
- Aar - op 04/09/2015 18:49:18

Een reguliere expressie van tekens die mogen.


?? En hoe maak ik dat? Ik heb geen idee hoe ik daaraan zou moeten beginnen....

Alvast bedankt voor de snelle reacties!

Reageren

Inloggen om te reageren