PHP MYSQL Небезопасная инъекция на основе ошибок - PullRequest
Новая
       11

PHP MYSQL Небезопасная инъекция на основе ошибок

0 голосов
/ 07 октября 2011 
    <?php
//create_cat.php
include 'connect.php';
include 'header.php';
include 'parser.php';

$sql = "SELECT
            topic_id,
            topic_subject
        FROM
            topics
        WHERE
            topics.topic_id = " . mysql_real_escape_string($_GET['id']);

$result = mysql_query($sql);

if(!$result)
{
    echo 'The topic could not be displayed, please try again later.';
}
else
//check for sign in status
    if(!$_SESSION['signed_in'])
    {
        echo 'You must be signed in!';
        header( 'Location:signin.php' ) ;
    }

else
{
    if(mysql_num_rows($result) == 0)
    {
        echo 'This topic doesn&prime;t exist.';
    }
    else
    {
        while($row = mysql_fetch_assoc($result))
        {
            //display post data
            echo '<table class="topic" border="1">
                    <tr>
                        <th colspan="2">' . $row['topic_subject'] . '</th>
                    </tr>';

            //fetch the posts from the database
            $posts_sql = "SELECT
                        posts.post_topic,
                        posts.post_content,
                        posts.post_date,
                        posts.post_by,
                        users.user_id,
                        users.user_name
                    FROM
                        posts
                    LEFT JOIN users ON posts.post_by = users.user_id

                    LEFT JOIN topics ON topics.topic_by = users.user_name

                    WHERE
                        posts.post_topic = " . mysql_real_escape_string($_GET['id']);

            $posts_result = mysql_query($posts_sql);

            if(!$posts_result)
            {
                echo '<tr><td>The posts could not be displayed, please try again later.</tr></td></table>';
            }
            else
            {
            $parser = new parser; //  start up Recruiting Parsers


                while($posts_row = mysql_fetch_assoc($posts_result))

                {

                // parsesBBCode
                $parsed = $parser->p($posts_row['post_content']);



                    echo '<tr class="topic-post">
                            <td class="user-post">' . $posts_row['user_name'] . '<br/>' . date('d-m-Y H:i', strtotime($posts_row['post_date'])) . '</td>
                            <td class="post-content">' . $parsed. '</td>
                          </tr>';
                }
            }

            if(!$_SESSION['signed_in'])
            {
                echo '<tr><td colspan=2>You must be <a href="signin.php">signed in</a> to reply. You can also <a href="signup.php">sign up</a> for an account.';
            }
            else
            {
                //show reply box
                echo '<tr><td colspan="2"><h2>Reply:</h2><br />
                    <form method="post" action="reply.php?id=' . $row['topic_id'] . '">
                        <textarea name="reply-content"></textarea><br /><br />
                        <input type="submit" value="Submit reply" />
                    </form></td></tr>';
            }

            //finish the table
            echo '</table>';
        }
    }
}

include 'footer.php';
?>

Внедрение sql на основе ошибок работает с моим кодом, и я не могу понять, где мои ошибки. Я имею в виду, что все работает, но мой код наверняка уязвим. Какие методы лучше использовать в этом коде, чтобы обезопасить его. Это простой форумный скрипт, над которым я работаю, чтобы использовать php с помощью mysql.

Ответы [ 2 ]

2 голосов
/ 07 октября 2011

Ну, для одного mysql_real_escape_string ускользает ваша строка, но она также не цитирует ее. Вы должны использовать это так (в общем случае): 

$sql = sprintf('...blah blah... WHERE topics.topic_id = \'%s\'',
               mysql_real_escape_string($_GET['id']));

В этом конкретном случае вы также можете использовать intval (что является ИМХО более описательным) и / или переключить спецификатор аргумента sprintf на %d.

1 голос
/ 07 октября 2011

Вместо использования PHP-библиотеки «mysql» рассмотрите возможность использования PHP-библиотек «PDO» или «mysqli».

Проверьте этот пост для хорошего объяснения и рекомендации PDO: Как я могу предотвратить внедрение SQL в PHP?

Проверьте это для mysqli: http://devzone.zend.com/article/686

...