Kurze Frage zu reinkommenden Daten

cottton · 10. November 2012

Kann mir hier was passieren?

PHP

$_SESSION['stalk'][$_GET['stalk']]['online'])

Ich bekomme über $_GET['stalk'] einen Player Name der erstmal ge-trim()-t wird.
Also: http://.......&stalk=cottton&ect....

Den Player Name wollte ich dann als Key für ein SESSION Array nutzen, um den später von anderen unterscheiden zu können.
Die Spieler Namen können alles Mögliche enthalten. ZB auch < > | & ect ect

Sollte ich noch nach irgentwas filtern oder evtl den Namen umformatieren? (wenn ja - in was?)
Thanks!

Roland · 10. November 2012

also id der Person könnte man auch speichern.

ansonsten weiß ich nicht was man so alles böses mit Session machen kann

cottton · 10. November 2012

Speichern wollt ich den Player nich extra.
Der Name wird nur vom User gebraucht.
Der will den sozusagen "stalken". Wenn browser zu, dann nix - den Namen braucht dann keiner mehr.

Mir fällt gerade ein - ich könnte ja den Namen md5 "codieren", also den hash nutzen.
Beim Vergleich, ob key == key ist logischerweise beide codieren.
Aber dann hab ich da ne 64 Zzeichen Kette in der SESSION ;D
wie sieht das denn aus ;D

Gits was "kürzeres"?

btw - ich lösche andauernd meine Worte hier im Forum weil ich die "" Funktion von scriptly gewohnt bin lol ;D (STRG+CTRL+Pfeil links =)

ramon1611 · 10. November 2012

nimm doch anstatt den benutzernamen die benutzer-id
das ist auf jeden fall kürzer

cottton · 10. November 2012

ich bekomm ... moment, ich hab ja doch ne id.
Wenn der Spieler existiert speichern wir den ja ;D
Oh man ...
;D
danke =)

ramon1611 · 10. November 2012

kein ding

Basi · 11. November 2012

Zitat von cottton

Kann mir hier was passieren?

Wenn du ungefiltert Daten über die GET Methode abfragst? Vielleicht...

cottton · 11. November 2012

Aber was?
Ich geb die daten ja zB nicht ungefiltert aus.
Da aber in Spielernamen alles drin stecken kann (<>|& ect ect ) kann ich da nicht gross Filtern.
Geplant war den Namen nur als Key zu verwenden.
Heisst ja, dass ein Name wie <&&'66"%&/> "nur" im PHP script Verwendung findet.

$_SESSION['stalk']['<&&'66"%&/>'] - kann doch nix passieren, oder?

unkown-6363 · 11. November 2012

Grundsätzlich filtert man alles was reinkommt. Der Hacker ist in den meisten Fällen sowieso schlauer als du und würde eine Möglichkeit kennen Blödsinn anzustellen

Roland · 11. November 2012

entweder du filterst es jetzt oder bei der Datenbankabfrage.
aber wenn du nur das in einer Session speichern willst, theoretisch, und nichts damit machen willst weiter, dann ist es eigentlich egal was der Nutzer da einträgt.

Basi · 11. November 2012

In "Key's", Variablennamen, Funktionsnamen, etc. nutzt man keine Sonderzeichen.

Dafür vergibt man ja schließlich Bezeichner (ID's), um beispielsweise Benutzer mit gleichen Namen oder Sonderzeichen eindeutig zuordnen zu können.

Auch ohne Ausgabe oder Speichern ist eine ungefilterte Benutzereingabe eine Gefahrenquelle.

cottton · 11. November 2012

Kleiner Fehler eingeschlichen - Spielernamen können keine " und ' beinhalten.

Also bei allen Ausgaben oder beim Speichern in der db wird alles gefiltert. Da hab ich schon aufgepasst.
Hab auch vieles selbst getestet, was passiert, wenn man versucht code einzuschleusen (mit tools oder manuell)

Bei den key werd ich ja jetzt doch die IDs nutzen. War ja bissl verpeilt und hab ganz "vergessen", dass die ja gespeichert werden, wenn player existiert.

Zum thema ob was passieren kann hab ich jetz mal alles getestet, was mir so auf die schnelle eingefallen ist.
Ergebnis: INERHALB von PHP kann wohl nix passieren

PHP

echo '<h4>print_r($a)</h4><br />';




$p1 = '< >!^´\\|/§$%&()=?_:;,.-#+&auml;&Auml;\'*\')';
$p2 = ']die;';
$p3 = '];echo $p1;';
$p4 = '];exit;';




$a[$p1] = 'content1';
$a[$p2] = 'content2';
$a[$p3] = 'content3';
$a[$p4] = 'content4';




echo "<pre>";print_r($a);echo"</pre>";




echo '<hr>';
echo '<h4>foreach($a as $key => $val){</h4><br />';




foreach($a as $key => $val){
    echo 'key: '.htmlspecialchars($key);
    echo 'val: '.htmlspecialchars($val);
    echo '<br />';
}




echo '<hr>';
echo '<h4>if($px == $p1){</h4><br />';




$px = $p1;
if($px == $p1){
    echo 'yes';
}else{
    echo 'no' ;
}




echo '<hr>';
echo '<h4>if(trim($px) == trim($p1)){</h4><br />';




if(trim($px) == trim($p1)){
    echo 'yes';
}else{
    echo 'no' ;
}




echo '<hr>';
echo '<h4>define(\'TEST1\',$a[$p1]);</h4><br />';




define('TEST1',$a[$p1]);
define('TEST2',$a[$p2]);
define('TEST3',$a[$p3]);
define('TEST4',$a[$p4]);




echo 'TEST1: '.TEST1;echo '<br />';
echo 'TEST2: '.TEST2;echo '<br />';
echo 'TEST3: '.TEST3;echo '<br />';
echo 'TEST4: '.TEST4;echo '<br />';




echo '<hr>';
echo '<h4>define($x,$key);</h4><br />';




$c = 5;
foreach($a as $key => $val){
    $x = 'TEST'.$c;
    define($x,$key);
    $c++;
}




echo 'TEST5: '.TEST5;echo '<br />';
echo 'TEST6: '.TEST6;echo '<br />';
echo 'TEST7: '.TEST7;echo '<br />';
echo 'TEST8: '.TEST8;echo '<br />';










die;

Alles anzeigen

Roland · 11. November 2012

genau das denke ich auch, dass dir innerhalb php nichts passieren kann.
es ist nur gefährlich wenn der string als auszuführender Code verwendet werden soll
z.b. bei eval() oder hat bei den Datenbanken

cottton · 11. November 2012

eval kannte ich noch garnicht.
ich glaub das muss ich mal ausprobieren =)

Basi · 11. November 2012

Auf 73 recht übersichtlichen Zeilen können Sonderzeichen vielleicht nicht viel anrichten, wir schreiben unsere Programme aber natürlich immer so als würden sie in tausende Zeilen Code übergehen, das heißt:

Flexibel
Übersichtlich
"Klein"
absolut 100% sicher
Kurz: Perfekt

In diesem Fachbereich gibt es keinen Kompromiss, man kann nicht mal eben etwas hinklatschen und hoffen das es funktioniert, man kann keinen Fehler oder eine Unsauberkeit verdrängen, man muss jedes Detail beachten, ansonsten wird man sich nie weiterentwickeln und nie wirklich großartige Programme schreiben.

Auf deine Internetseite kann jeder Mensch dieser Welt zugreifen, das heißt das dir auch jeder Schaden zufügen kann.. das Risiko willst du doch nicht wirklich eingehen..

Hierbei geht es nicht speziell um dein Vorhaben sondern ich spreche da eher allgemein.. ich kann es einfach nicht ertragen wenn Menschen Codes schreiben so nach dem Motto "klappt schon".. nur weil du dein eigenes System nicht infiltrieren kannst heißt das nicht das es niemand schafft

cottton · 11. November 2012

Ist mir klar und ich schreibe keinen code nach dem motto "klappt schon".
Gerade weil es bei uns um tausende spieler geht bin ich vorsichtig.
Was denkst du warum ich alles (unsere seite) neu schreibe?

Du sagtst auch immer was man nicht macht oder kommentierst. Aber du hast noch nicht einmal gesagt, wie man es richtig macht.

Basi · 12. November 2012

htmlentities ...

Ich habe mich explizit von deinem Code/Projekt distanziert, wenn du es trotzdem darauf beziehen willst kann ich da nichts für. Auch habe ich dich nicht persönlich angesprochen oder deine Seite sonst wie kritisiert.

Und dann eine Zeile weiter unten lesen...

Kurze Frage zu reinkommenden Daten

Jetzt mitmachen!

Teilen