Comments on: SQL Injection e as funções de escape no php http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Tue, 31 Aug 2010 00:49:21 +0000 hourly 1 http://wordpress.org/?v=3.0.1 By: Making it easy! Executando query utilizando valores ascii. « Meninão http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-597 Making it easy! Executando query utilizando valores ascii. « Meninão Sat, 03 Jan 2009 02:47:36 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-597 [...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('597','Making it easy! Executando query utilizando valores ascii. « Meninão'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('597','Making it easy! Executando query utilizando valores ascii. « Meninão','[...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]'); return false;">Quote</a></div> [...] Entenda sobre essa e outras técnicas mais efetivas aqui. [...]
ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-553 Ulisses Castro Wed, 03 Dec 2008 16:49:17 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-553 LOL Troll detected! o.O Bom vendo todo mundo comentar sobre Prepared Statements e tal... é bacana e é fortemente recomendada MAAAAAAAS... lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance... Mais dois cents! :) [s]<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('553','Ulisses Castro'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('553','Ulisses Castro','LOL Troll detected! o.O\r\n\r\nBom vendo todo mundo comentar sobre Prepared Statements e tal... é bacana e é fortemente recomendada MAAAAAAAS... lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance...\r\n\r\nMais dois cents! :)\r\n\r\n[s]'); return false;">Quote</a></div> LOL Troll detected! o.O

Bom vendo todo mundo comentar sobre Prepared Statements e tal… é bacana e é fortemente recomendada MAAAAAAAS… lembrando que utilizando você estará delegando pro BD o processamento, portanto cuidado ao utilizá-la pois em certas circunstâncias pode acarretar em perda de performance…

Mais dois cents! :)

[s]

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-551 Elias Wagner Wed, 03 Dec 2008 15:44:41 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-551 Keylly, sinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape. Se você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('551','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('551','Elias Wagner','Keylly,\r\n\r\nsinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape.\r\n\r\nSe você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Keylly,

sinto não ter atendido sua expectativa. eu falei dos riscos de usar as funções de escape e o que pode-se usar para bypassar estes controles. Não falei apenas das funções de ascii e char, as funções foram apresentadas como ferramenta para burlar os controles de escape.

Se você espera o passo-a-passo de como fazer isso, sinto muito, o post não é um how-to de como fazer SQL Injection, se você pegar um script e testar vai ver o que acontece.

Obrigado pelo comentário.

ReplyQuote
]]> By: Keylly Eyglys http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-550 Keylly Eyglys Wed, 03 Dec 2008 02:58:42 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-550 Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas. Serviu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('550','Keylly Eyglys'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('550','Keylly Eyglys','Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas.\r\n\r\nServiu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).'); return false;">Quote</a></div> Bem, achei seu post incompleto pois não falou quais os ataques que podem ser realizados mesmo realizando o escape nas aspas.

Serviu apenas para apresentar a função ascii e char do MySQL (que já deveria ser do conhecimento de muitos).

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-549 Elias Wagner Tue, 02 Dec 2008 21:59:14 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-549 Douglas, realmente tem muitas coisas que acabam passando despercebidas. :) Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('549','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('549','Elias Wagner','Douglas,\r\n\r\nrealmente tem muitas coisas que acabam passando despercebidas. :)\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Douglas,

realmente tem muitas coisas que acabam passando despercebidas. :)

Obrigado pelo comentário.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-548 Elias Wagner Tue, 02 Dec 2008 21:56:24 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-548 Carlos André, eu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('548','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('548','Elias Wagner','Carlos André,\r\n\r\neu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e\/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> Carlos André,

eu não recomendo ficar validando, fazendo substituição de strings especificas, o melhor dos mundos é usar prepared statements e/ou fazer uma validação positiva, deixar passar apenas o conjunto de strings que você precisa e não trazem risco a aplicação.

Obrigado pelo comentário.

ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-547 Elias Wagner Tue, 02 Dec 2008 21:54:38 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-547 João Marcos, realmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto. Quanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses. Obrigado pelo comentário.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('547','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('547','Elias Wagner','João Marcos,\r\n\r\nrealmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto.\r\n\r\nQuanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses.\r\n\r\nObrigado pelo comentário.'); return false;">Quote</a></div> João Marcos,

realmente as prepared statements são uma boa opção para tratar vulnerabilidades de SQL Injection, além do ganho de performance por elas manterem um plano de execução em cache. Eu recomendo também usar prepared statements, inclusive está no texto.

Quanto ao escape, ele tem outras necessidades, por exemplo a que foi comentada pelo Ulisses.

Obrigado pelo comentário.

ReplyQuote
]]> By: Douglas Cunha http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-546 Douglas Cunha Tue, 02 Dec 2008 18:16:39 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-546 Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora. Muito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii...) com uma certa ingenuidade.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('546','Douglas Cunha'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('546','Douglas Cunha','Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora.\r\n\r\nMuito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii...) com uma certa ingenuidade.'); return false;">Quote</a></div> Desenvolvo em PHP faz tempo. Sempre me preocupei em usar as funções de escape, mas nunca atentei para essa forma de ataque. Vou ficar mais esperto agora.

Muito bom o artigo. Aposto que como eu, muita gente via essas funções do MySQL (char, ascii…) com uma certa ingenuidade.

ReplyQuote
]]> By: Ribamar FS http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-544 Ribamar FS Tue, 02 Dec 2008 15:52:23 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-544 Agradecido por compartilhar seus conhecimentos. Não sei porque usa: "Você chegou até aqui procurando por "" através do www.google.com." Eu não cheguei aqui via Google, portanto está furado.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('544','Ribamar FS'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('544','Ribamar FS','Agradecido por compartilhar seus conhecimentos.\r\n\r\nNão sei porque usa:\r\n\"Você chegou até aqui procurando por \"\" através do www.google.com.\"\r\n\r\nEu não cheguei aqui via Google, portanto está furado.'); return false;">Quote</a></div> Agradecido por compartilhar seus conhecimentos.

Não sei porque usa:
“Você chegou até aqui procurando por “” através do http://www.google.com.”

Eu não cheguei aqui via Google, portanto está furado.

Replyhttp://www.google.com.\"\r\n\r\nEu não cheguei aqui via Google, portanto está furado.’); return false;”>Quote
]]> By: Carlos André Ferrari http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-543 Carlos André Ferrari Tue, 02 Dec 2008 15:51:54 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-543 então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('543','Carlos André Ferrari'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('543','Carlos André Ferrari','então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?'); return false;">Quote</a></div> então se eu não permitir a utilização dessas palavras (char, hex, unhex e dumpfile) e o escape na minha consulta já deve resolver o problema para praticamente todas as situações, certo?
ReplyQuote
]]> By: Erick http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-542 Erick Tue, 02 Dec 2008 15:39:26 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-542 Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema. Falow, t+<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('542','Erick'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('542','Erick','Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema.\r\n\r\nFalow, t+'); return false;">Quote</a></div> Cara muito bom o post, tem muitos programadores que acabam expondo sistemas com vulnerabilidades na internet, e soluções fáceis podem resolver o problema.

Falow, t+

ReplyQuote
]]> By: João Marcus http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-541 João Marcus Tue, 02 Dec 2008 15:22:07 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-541 Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('541','João Marcus'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('541','João Marcus','Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.'); return false;">Quote</a></div> Por que não usar Prepared Statements de uma vez? Elas têm uma performance melhor quando a query é executada várias vezes, e são realmente seguras. Você não precisa se preocupar em fazer escape de nada.
ReplyQuote
]]> By: SQL Injection e as funções de escape no php http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-540 SQL Injection e as funções de escape no php Tue, 02 Dec 2008 14:03:05 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-540 [...] por Wagner Elias (weliasΘconviso·com·br) – referência [...]
ReplyQuote
]]> By: Elias Wagner http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-539 Elias Wagner Tue, 02 Dec 2008 13:23:02 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-539 Fala Ulisses, obrigado pelo complemento.... P.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro... :) Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('539','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('539','Elias Wagner','Fala Ulisses, obrigado pelo complemento....\r\n\r\nP.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro... :)\r\n\r\nAbs.'); return false;">Quote</a></div> Fala Ulisses, obrigado pelo complemento….

P.s.: Ainda bem que o wordpress limita a injeção de código, você não pode ver parâmetro… :)

Abs.

ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-538 Ulisses Castro Tue, 02 Dec 2008 13:06:41 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-538 aaaaaaarg!!! mal o spam…

select “codigoPHPaqui” into dumpfile “/var/www”

ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-537 Ulisses Castro Tue, 02 Dec 2008 13:03:54 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-537 Putz no segundo exemplo do dumpfile era pra ter ficado: select "" into dumpfile "/var/www" duh! a página removeu meu codigo php :) []'s<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('537','Ulisses Castro'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('537','Ulisses Castro','Putz no segundo exemplo do dumpfile era pra ter ficado:\r\n\r\nselect \"\" into dumpfile \"\/var\/www\"\r\n\r\nduh! a página removeu meu codigo php :)\r\n\r\n[]\'s'); return false;">Quote</a></div> Putz no segundo exemplo do dumpfile era pra ter ficado:

select “” into dumpfile “/var/www”

duh! a página removeu meu codigo php :)

[]‘s

ReplyQuote
]]> By: Ulisses Castro http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/comment-page-1/#comment-536 Ulisses Castro Tue, 02 Dec 2008 12:59:56 +0000 http://wagnerelias.com/2008/12/01/sql-injection-e-as-funcoes-de-escape-no-php/#comment-536 Opa! Bele artigo again Wagner, adicionando um pouco de info.. além da famosa funcao char(), ainda temos a funcão hex() e a unhex(), mas as vezes nem é preciso utilizá-las, bastando converter para hex em qualquer lugar e socar na consulta ex: select concat(user,0xa,password) from 0x6d7973716c2e75736572; sendo: 0x6d7973716c2e75736572 == mysql.user As funcoes que citou não protejem contra ataques de SQL Injection sem dúvida.. mas olhando para o cenário que montou PHP + MySQL elas são de grande utilidade contra duas funcionalidades que eu poderia chamar de "chave" em um ataque, que são: select concat(user,0xa,password) from 0x6d7973716c2e75736572 into outfile "/var/www"; OU pior... select "" into dumpfile "/var/www"; Tanto dumpfile como outfile EXIGEM que sejam utilizado aspas, se não utilizar as funções que falou o servidor estará desprotegido contra um possível fuzzing para procurar diretórios que estejam com permissao incorreta e subir um backdoor... :) Fica as meus dois cents! :) Grande abraço!<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('536','Ulisses Castro'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('536','Ulisses Castro','Opa! Bele artigo again Wagner, adicionando um pouco de info..\r\n\r\nalém da famosa funcao char(), ainda temos a funcão hex() e a unhex(), mas as vezes nem é preciso utilizá-las, bastando converter para hex em qualquer lugar e socar na consulta ex:\r\n\r\nselect concat(user,0xa,password) from 0x6d7973716c2e75736572;\r\n\r\nsendo:\r\n0x6d7973716c2e75736572 == mysql.user\r\n\r\nAs funcoes que citou não protejem contra ataques de SQL Injection sem dúvida.. mas olhando para o cenário que montou PHP + MySQL elas são de grande utilidade contra duas funcionalidades que eu poderia chamar de \"chave\" em um ataque, que são:\r\n\r\nselect concat(user,0xa,password) from 0x6d7973716c2e75736572 into outfile \"\/var\/www\";\r\n\r\nOU pior...\r\n\r\nselect \"\" into dumpfile \"\/var\/www\";\r\n\r\nTanto dumpfile como outfile EXIGEM que sejam utilizado aspas, se não utilizar as funções que falou o servidor estará desprotegido contra um possível fuzzing para procurar diretórios que estejam com permissao incorreta e subir um backdoor...\r\n\r\n:)\r\n\r\nFica as meus dois cents! :)\r\n\r\nGrande abraço!'); return false;">Quote</a></div> Opa! Bele artigo again Wagner, adicionando um pouco de info..

além da famosa funcao char(), ainda temos a funcão hex() e a unhex(), mas as vezes nem é preciso utilizá-las, bastando converter para hex em qualquer lugar e socar na consulta ex:

select concat(user,0xa,password) from 0x6d7973716c2e75736572;

sendo:
0x6d7973716c2e75736572 == mysql.user

As funcoes que citou não protejem contra ataques de SQL Injection sem dúvida.. mas olhando para o cenário que montou PHP + MySQL elas são de grande utilidade contra duas funcionalidades que eu poderia chamar de “chave” em um ataque, que são:

select concat(user,0xa,password) from 0x6d7973716c2e75736572 into outfile “/var/www”;

OU pior…

select “” into dumpfile “/var/www”;

Tanto dumpfile como outfile EXIGEM que sejam utilizado aspas, se não utilizar as funções que falou o servidor estará desprotegido contra um possível fuzzing para procurar diretórios que estejam com permissao incorreta e subir um backdoor…

:)

Fica as meus dois cents! :)

Grande abraço!

ReplyQuote
]]>