Kandu.dk - form....validering?


/ Forside / Teknologi / Udvikling / HTML / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

HTML

#	Navn	Point
1	molokyle	11184
2	Klaudi	5506
3	bentjuul	3377
4	severino	2040
5	smorch	1950
6	strarup	1525
7	natmaden	1396
8	scootergr..	1320
9	e.c	1150
10	miritdk	1110

form....validering?
Fra : John Kjoller

Dato : 19-05-06 18:01

Hvordan er det nu; der er noget med at hackere/spammere kan bruge
form-fields, til.... et eller andet....

Hvordan undgår jeg det?

Det må vel være noget med at jeg tjekker og fjerner, "farligt" input fra et
givent field, -eller hvad?

Nogen sagde til mig at jeg skal fjerne "\" fra input-strengen. - Er det
korrekt, og er det nok at nøjes med at fjerne det?

Og kan hackere/spammere bruge mine formfields, selvom der bare er tale om et
formfield som skriver input strengen ind i en mysql database, og vises som
gæstebogs indslag?

Mange venlige hilsener
fra
John

Bertel Lund Hansen (19-05-2006)

Kommentar
Fra : Bertel Lund Hansen

Dato : 19-05-06 18:40

John Kjoller skrev:

> Hvordan er det nu; der er noget med at hackere/spammere kan bruge
> form-fields, til.... et eller andet....

Det er rigtigt. Han kan få det modtagende program til at udføre
en vilkårlig kommando.

> Hvordan undgår jeg det?

Det er en længere forklaring og kommer også an på hvordan din
side fungerer. Det kommer også an på hvilket sprog den modtagende
side er kodet i.

> Det må vel være noget med at jeg tjekker og fjerner, "farligt" input fra et
> givent field, -eller hvad?

Ja.

> Nogen sagde til mig at jeg skal fjerne "\" fra input-strengen. - Er det
> korrekt, og er det nok at nøjes med at fjerne det?

Det er en god idé, men langt fra nok.

> Og kan hackere/spammere bruge mine formfields, selvom der bare er tale om et
> formfield som skriver input strengen ind i en mysql database, og vises som
> gæstebogs indslag?

Det kan du tro. De kan få fuld kontrol over din database, og de
kan få din hjemmeside til at se ud lige som de vil.

Du må spørge i den relevante gruppe. Hvis den modtagende side
(kik ved action=) hedder noget med .php, er det i
<news:dk.edb.internet.webdesign.serverside.php>
hvis den hedder noget med .asp, er det i
<news:dk.edb.internet.webdesign.serverside.asp>.

Men der er også andre muligheder.

--
Bertel
http://bertel.lundhansen.dk/ http://fiduso.dk/

Lasse Reichstein Nie~ (19-05-2006)

Kommentar
Fra : Lasse Reichstein Nie~

Dato : 19-05-06 19:51

"John Kjoller" <john@skrivikkedette-basix.dk> writes:

> Hvordan er det nu; der er noget med at hackere/spammere kan bruge
> form-fields, til.... et eller andet....

Han kan putte data i det. Hvis server-side-scriptet er dårligt skrevet
(og det er der rigtigt mange af dem der er), så kan det være at snedigt
udvalgte data kan få serveren til at gøre noget der ikke var meningen
(i værste fald kan man få den til hvad som helst).

> Hvordan undgår jeg det?

Tjekker alle input på serveren inden du bruger dem, så du er sikre
på at de er "ufarlige".

> Det må vel være noget med at jeg tjekker og fjerner, "farligt" input fra et
> givent field, -eller hvad?

Det afhænger helt af hvilke data brugeren skal kunne angive, og hvad
de skal bruges til.

> Nogen sagde til mig at jeg skal fjerne "\" fra input-strengen. - Er det
> korrekt, og er det nok at nøjes med at fjerne det?

Hvis "\" er et tegn som brugeren kan forventes at give i et rigtigt input,
så er det ikke godt at fjerne det. Hvis det så også skal gives til noget
andet kode hvor "\" betyder noget specielt, så skal man finde en måde
at kode det på.

> Og kan hackere/spammere bruge mine formfields, selvom der bare er tale om et
> formfield som skriver input strengen ind i en mysql database, og vises som
> gæstebogs indslag?

Det ville være et klassisk eksempel på noget der kan gå galt hvis man
behandler brugerinput uforsigtigt.

Antag at du har får et input fra brugeren, og du så vil oprette en
ny række i din tabel med det input.

Du kunne så bygge noget SQL på formen:
"INSERT INTO mytable VALUES (" + nextId + ", '" + input + "');"
Altså, hvis input var "Hans", og nextId var 42, så ville SQL'en blive:
INSERT INTO mytable VALUES (42, 'Hans');
Det ser jo tilforladeligt ud.

Så komme skurken og sender et input med indholdet:
test');UPDATE mytable SET name = 'Hans' WHERE id='0' OR 'x'='y
Dit genererede SQL bliver så (ombrudt):
INSERT INTO mytable VALUES (42, 'test');
UPDATE mytable SET name = 'Hans' WHERE (id='0' OR 'x'='y');
Lige pludselig hedder administratoren "Hans".
Mere kritiske ændringer ville være hvis man overskrev password
eller droppede databasen.

Derfor skal man altid bruge host-variable, altså SQL på formen:
INSERT INTO mytable VALUES (?,?);
og så indsætte værdierne bagefter med funktioner der sørger for
at alle tegn bliver behandlet rigtigt.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
DHTML Death Colors: <URL:http://www.infimum.dk/HTML/rasterTriangleDOM.html>
'Faith without judgement merely degrades the spirit divine.'

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408847
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste