IP Adresse SQL-injection

Ist es möglich für einen Benutzer zu fälschen das Ergebnis, das zurückgegeben wird, von $_SERVER['REMOTE_ADDR'] in PHP, so dass Sie könnte in der Theorie die Verwendung von SQL-injection auf einer Datenbank?

Dies ist ein bisschen dumm, aber ich bin noch neu genug, um PHP, ich möchte wissen, ob es getan werden kann, ob oder ob nicht muss ich zur Bereinigung von Datenbank-input, wenn der SELECT - Anweisung wählt aus der IP-Adressen zurückgegeben, die von $_SERVER['REMOTE_ADDR']. Also, wenn ich wollte, etwas zu verwenden, wie $query = "SELECT * FROM users WHERE IP='" . $_SERVER['REMOTE_ADDR'] . "'";, würde es eine Gefahr für mein tun?

Wieder, wahrscheinlich ein "nooby" Frage, aber ich habe das Gefühl es muss gefragt werden.

Dank

InformationsquelleAutor Cyclone | 2010-01-07
  1. 16

    Es ist eine Strecke, und unwahrscheinlich, aber ich würde nicht so weit gehen, zu sagen, es ist unmöglich. So....

    Verwendung von parametrisierten Abfragen sowieso.

    Selbst wenn Sie nie angegriffen, die über das Feld IP-Adresse, erhalten Sie noch den zusätzlichen Vorteil, schneller queries durch Zwischenspeicherung.

    • Was sind parametrisierte Abfragen? Können Sie ein Beispiel geben?
    • Ich sah Sie an. Danke!
    • Sie "würde nicht so weit gehen zu sagen" = Sie nicht wissen, die Antwort. Andrew McGregor (unten) scheint zu wissen, wovon er spricht.
    InformationsquelleAutor Neil N
  2. 11

    Können Sie sich nicht darauf verlassen, dass REMOTE_ADDR wahr... es könnte die falsche Adresse wegen anonymising Proxys oder einige solcher trick. Sie kann darauf verlassen, dass es immer eine IP-Adresse, so dass SQL-injection durch diesen Weg ist unmöglich.

    Weg nach unten am unteren Rand der Stapel, das ist umgewandelt worden von der Quell-Adresse der Pakete, die die Herstellung der TCP-Verbindung zu Ihrem server. Das bedeutet, dass a) es muss eine IP-Adresse und b) hat er die route zurück an den client für die Verbindung sein.

    • IMO ist dies die richtige Antwort. Wenn ich einen penny für jedes parametrisierten Abfragen Predigt, LOL.
    InformationsquelleAutor Andrew McGregor
  3. 6

    Ich denke, die einzige Möglichkeit für jemanden zu Schmieden $_SERVER['REMOTE_ADDR'] wäre, zu konstruieren, ein IP-Paket mit einer gefälschten IP-Adresse (weil es durch den server, nicht den client), in welchem Fall Maßnahmen zurückgeleitet werden, um die gefälschte Adresse. Wenn Sie besorgt sind injection-Angriffe, ich glaube, du bist ok, weil die Adress-Felder in IP-Pakete, die nur noch Platz für Adressen.

    • Ich Stimme (eigentlich war ich schon schreiben, als du gepostet hast). Allerdings wäre es theoretisch in Ordnung, zu versuchen-injection-Angriffe ermöglichen würde, dass einige andere Eingang (blind wie Sie sagte), aber das ist ziemlich unwahrscheinlich.
    InformationsquelleAutor danben
  4. 5

    Immer desinfizieren Sie alle externen Eingänge - verwenden Sie mysql_real_escape_string oder besser noch, prepared statements

    InformationsquelleAutor K Prime
  5. 2

    Könnte man unter Verwendung der PHP-Daten-Filter-Funktionen.

    filter_var() mit FILTER_VALIDATE_IP überprüft, ob die remote-IP. Wenn die remote-IP gültig ist, verwenden Sie es in SQL.

    EDIT: filter_input() mit INPUT_SERVER ist eine weitere option 😉

    http://www.php.net/manual/en/book.filter.php

    http://www.php.net/manual/en/filter.filters.validate.php

    http://www.php.net/manual/en/function.filter-var.php

    http://www.php.net/manual/en/function.filter-input.php

    Hoffe, das hilft,

    Simeon

    • Welche Art von Leistungsverlust reden wir? Ist der filter buchstäblich gehen, um das Internet zum überprüfen der IP?
    InformationsquelleAutor simeonwillbanks
  6. 1

    REMOTE_ADDR nicht vom client geschickt, es ist vom server gesetzt. Es ist zwar technisch möglich, fälschen einer IP-Adresse auf die Netzwerk-Ebene, der Angreifer hat zu arbeiten blind. Der schwierigste Teil ist zu raten, die Sequenz-Nummer. (Unter Coldfusion, durch die Art und Weise, es ist eine andere Geschichte.)

    Wie schon andere gesagt haben, verwenden Sie vorbereitete Anweisungen, und Sie nicht brauchen, um über SQL-injection (obwohl andere Arten von injection-Angriffe sind möglich).

    • Interessant, ich glaube nicht, es war sogar wirklich möglich
    • Beachten Sie, dass IP-Adressen-spoofing funktioniert nicht als Vektor für SQL-injection, es bedeutet nur, Sie können nicht wissen, für bestimmte, REMOTE_ADDR ist die Adresse des Computers, der die Anforderung gesendet hat. Auch, Sequenznummern erraten ist nicht einfach. Unter OpenBSD, die beginnt mit einer zufälligen Zahl, es ist im Grunde unmöglich.
    InformationsquelleAutor outis
  7. 1

    Ich immer diesen code in alle meine Projekte (erste Eingabe-Bereinigung), um zu verhindern, dass etwas böses mit Fake-IPs geht.
    Ich bin mir nicht sicher ob Sie fake die REMOTE_ADDR sowieso.

    function validate_ip($ip) {
    // Try IPv4 First, as its the most used method right now
    if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4)) {
        // Oops... try v6
        if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6)) {
            return false; // Sorry...
        }
        else {
            return true;
        }
    }
    else {
        return true;
    }
}
if(!isset($_SERVER['REMOTE_ADDR'])) # wtf?
    die("Could not find your IP Address...");
else {
    if(validate_ip($_SERVER["REMOTE_ADDR"]))
        die("Could not validate your IP Address...");
}
    • Dass # wtf? brachte mich zum lachen
    • Haha stimmt, ich vergaß, dass Kommentar, den ich Hinzugefügt. Late-night - 'Codierung' (na ja, kleines und einfaches Stück code, nur um wach zu bleiben) zwingt mich zu schreiben, schreckliche Kommentare.
    InformationsquelleAutor Jimmie Lin
  8. 1

    Für Effizienz und Sicherheit, die Sie speichern möchten können und die Arbeit mit IPs-als int-Werte in Ihrer Datenbank.

    Die einfache Möglichkeit zum speichern von IP-Adressen ist die Verwendung der varchar-Feld in deiner DB. Jedoch ein anderer Weg zum darstellen von IPs ist als eine ganze Zahl. Die Konvertierung der angegebenen IP auf diese Weise bereinigen, und auch Ihre Speicherung und Abfragen effizienter. Die Speicherung eines INT-nimmt weniger Platz in einer DB, und funktioniert besser für die Indizierung, und ich glaube, query-caching.

    Check-out ip2long und long2ip für PHP-Funktionen zu konvertieren, und inet_aton und inet_ntoa es in MySQL.

    So, könnte der Prozess gehen wie

    $user_ip=ip2long($_SERVER['REMOTE_ADDR']);
if(!$user_ip){ //returned false due to odd input
   echo 'wtf, yo';
   }
else{
   //do your query
   }

    Können Sie auch desinfizieren, eine IP und halten Sie es in der original-dotted-quad form durch die Kombination der beiden

    $user_ip=long2ip(ip2long($_SERVER['REMOTE_ADDR']));
    • Sie wollen vielleicht machen Sie Ihren Programmierstil besser. $_SERVER[REMOTE_ADDR] ist schrecklich.
    • Danke, für einige Grund, warum ich dachte, diese waren nicht börsennotierten Konstanten oder so etwas. Ja, ich sollte man die Angebote, so dass ich aktualisiert meine Antwort. Ich denke nicht wirklich, dass es eine Frage der Codierung Stil obwohl.
    InformationsquelleAutor JAL
Schreibe einen Kommentar