phpbar.de logo

Mailinglisten-Archive

[php] sichere MySQL Queries

[php] sichere MySQL Queries

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Don Nov 9 15:56:01 CET 2006


Hallo AA,

Am Donnerstag, 9. November 2006 14:30 schrieb AA:
> zum semikolon-märchen:
> ----------------------
> das mit dem semikolon im query ist eine legende. mysql und mysqli
> filtern dies heraus. das steht auch im handbuch:
>
> "The query string should not end with a semicolon."

da steht nur, daß am Ende kein Semikolon stehen *sollte*. Von Filtern 
ist da keine Rede. Nach meiner Erinnerung hat Peter recht, daß es - 
zumindest bei der mysql-Erweiterung - tatsächlich zu einer 
Fehlermeldung kommt, wenn der Query-String ein abschließendes Semikolon 
enthält.

> aus bestimmten gründen, kann dies aber gewollt sein (mehrere queries
> in einem befehl). dafür liefert mysqli die funktion/methode
> mysqli_multi_query() / multi_query():
>
> "executes one or multiple queries which are concatenated by a
> semicolon."

In dem Augenblick hätten wir dann aber auch  potentiell genau das 
Sicherheitsloch, um das es Michael in seiner Frage ging. ;-)

> zum einsatz von prepared statements als heilmittel:
> ---------------------------------------------------
> schickes feature :)

Ich sagte nicht, daß es sich um ein Allheilmittel handelt, allerdings 
halte ich Prepared Statements für die sicherste Methode, 
SQL-Einschleusung zu vermeiden. Mir ist klar, daß das bei nur einmal 
ausgeführten SQL-Befehlen zu einem Performanzverlust führt, jedoch 
bewerte ich persönlich den Sicherheitsgewinn deutlich höher. Wen es 
interessiert, kann ja auch mal auf der MySQL-Website nachlesen und sich 
sein eigenes Bild machen:

http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html

> was dagegen spricht: will man eine portable anwendung schreiben (zb.
> mit der PDO-erweiterung), sollte man dies tunlichst unterlassen.
> leider findet sich dieser entscheidende hinweis nicht überall da, wo
> er hingehört. aber zumindest wird es bei PDO-mysql in einem nebensatz
> erwähnt:
>
> "If you're writing portable code, you should use
> PDOStatement::fetchAll() instead."

Möglicherweise habe ich von der Materie zu wenig Ahnung, aber aus meiner 
Sicht hast Du hier etwas falsch interpretiert. Dieser Satz bezieht sich 
auf die vordefinierte Konstante PDO::MYSQL_ATTR_USE_BUFFERED_QUERY und 
steht auf folgender Seite:

	http://de3.php.net/manual/en/ref.pdo-mysql.php

Zum einen handelt es sich hier also um eine MySQL-spezifische Konstante 
und zum anderen vermute ich, daß man sie im Zusammenhang mit Prepared 
Statements auf TRUE setzen kann, aber nicht muß.

Viel wichtiger erscheint mit folgendes Zitat von der 
PDO-Einführungsseite:

"Prepared statements are so useful that they are the only feature that 
PDO will emulate for drivers that don't support them. This ensures that 
you will be able to use the same data access paradigm regardless of the 
capabilities of the database."
-> http://de3.php.net/manual/en/ref.pdo.php

Wenn das so ist, dann ist die Portabilität auch bei der Verwendung von 
Prepared Statements doch grundsätzlich erst einmal gewährleistet. 
Andersherum formiliert: Die PDO-Erweiterung soll ja gerade die 
Portabilität gewährleisten. Würde die Verwendung von Prepared 
Statements dieses Ziel zunichte machen, gäbe es sicherlich nicht die 
Möglichkeit, diese mit PDO zu verwenden.

Ein weiterer Punkt ist, daß es wahre Portabilität wohl nur schwerlich 
gibt. Selbst Hibernate erreicht sie nicht. Es gibt nur eine 
größtmögliche Annäherung. ;-)

> zur eigentlichen frage: "sichere mysql-queries?"
> ------------------------------------------------
> das ist ein komplexes thema und lässt sich nicht mit einer formel
> beantworten. es gibt allerdings eine grundregel: text, der in ene db
> gespeichert wird, muss escaped werden.

Das ist eben genau der entscheidende Denkfehler... Du mußt jedes Feld 
"escapen". Der Grund ist einfach: Wer garantiert Dir, daß dort, wo Du 
im SQL-Befehl eine Zahl vorgesehen hast, auch eine Zahl ankommt und 
nicht etwa eine eingeschleuste Zeichenkette à la '1 OR 1=1'? Es ist ein 
gravierender Denkfehler, sich nur auf die Textfelder zu konzentrieren.


Viele Grüße
Lutz

php::bar PHP Wiki   -   Listenarchive