$dbh->quote() funktioniert nicht richtig ? (Datenbanken und Verzeichnisdienste)

[thread]13313[/thread]

$dbh->quote() funktioniert nicht richtig ?

Leser: 23

Articles: hide open all | hide show old branches

+12 replies
Gast Monk

2009-04-01 18:00
Guten Abend,
ich befasse mich seit gerade erst mit MySql in Perl und habe eine Frage diesbezüglich.

Hier mal der Codeausschnitt:
Code (perl): (dl )

1 2 3 4 5 6

my $animal = $dbh->quote($animal); my $sorte = $dbh->quote($sorte); my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=$sorte, bsp_text=$animal") || die "Konnte Statement nicht erstellen : $DBI::errstr<br>"; $sth->execute() || die "Konnte Statement nicht ausführen $DBI::errstr<br>"; $sth->finish;
$sorte und $animal kommen per Get Parameter rein, und sollen gequotet werden.
Doch beim testen von
test.pl?$sorte=1&animal=<script>alert("XSS")</script>
bekomme ich einen Xss , obwohl doch der String gequotet sein sollte ?

Was läuft falsch ?

Ps. Da ich wie gesagt jetzt erst angefangen habe mit diesem Thema, bitte ich euch alles genau zuerklären, damit ich auch dazulernen kann. ;)

MFG Monk :)

Modedit Gwendragon: Code-Tags für Perl, HTML ergänzt
Last edited: 2009-04-11 11:48:51 +0200 (CEST)
- +8 replies
- murphy
  
  2009-04-01 18:09
  
  User since
  2004-07-19
  1776 Artikel
  HausmeisterIn
  
  Das Quoten zum Einfügen in die Datenbank hat nichts mit dem Quoten zur Ausgabe in einer HTML-Seite zu tun!
  
  Beim Einfügen in die Datenbank solltest Du Daten, die über Queryparameter hereinkommen quoten um SQL-Injection zu vermeiden, bei der Ausgabe der Daten in einer HTML-Seite solltest Du wiederum Daten, die Du nicht anderweitig vorbereitet hast quoten, um HTML- oder JavaScript-Injections zu vermeiden.
  
  Beim Einfügen in eine Datenbank gibt es ferner in der Regel auch die Möglichkeit Abfrageparameter zu verwenden anstatt zu quoten. Gerade wenn man den gleichen Datenbankbefehl mehrmals mit unterschiedlichen Werten an bestimmten Stellen ausführen will, ist diese Variante meist auch effizienter.
  
  Zu Deiner Frage, was genau schief läuft, kann ich nichts sagen, da Du keinerlei Code gepostet hast, der etwas mit dem Auftreten des Problemes zu tun hat.
  When C++ is your hammer, every problem looks like your thumb.
  - +7 replies
  - pq
    
    2009-04-01 18:53
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    dein beispiel mal umgeschrieben mit platzhaltern, die sind IMHO auch einfach weniger schreibarbeit und line noise:
    
    Code (perl): (dl )
    
    1 2 3 4 5
    
    my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=?, bsp_text=?") or die "Konnte Statement nicht erstellen : $DBI::errstr"; $sth->execute($sorte, $animal) or die "Konnte Statement nicht ausführen $DBI::errstr"; $sth->finish;
    
    zum escapen im HTML kann ich dir nur HTML::Template oder HTML::Template::Compiled empfehlen. Dort kann man beim erstellen des Templates den parameter default_escape => 'HTML' mit übergeben und ist dann vor so ziemlich allen XSS geschützt, fehlt dann nur noch das filtern bei sowas wie
    
    Code: (dl )
    
    <a href="$user_homepage">
    
    wo dann kein "javascript:..." drinstehen darf.
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - sid burn
      
      2009-04-09 22:18
      
      User since
      2006-03-29
      1520 Artikel
      BenutzerIn
      
      2009-04-01T16:53:21 pq
      dein beispiel mal umgeschrieben mit platzhaltern, die sind IMHO auch einfach weniger schreibarbeit und line noise:
      
      Code (perl): (dl )
      
      1 2 3 4 5
      
      my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=?, bsp_text=?") or die "Konnte Statement nicht erstellen : $DBI::errstr"; $sth->execute($sorte, $animal) or die "Konnte Statement nicht ausführen $DBI::errstr"; $sth->finish;
      
      Und wenn man dann noch beim Connecten die Option "RaiseError => 1" setzt dann kann man sich auch die lästigen "or die "..."" abfragen sparen was das noch weniger schreibarbeit ist und noch weniger Line Noise ist.
      
      Code (perl): (dl )
      
      1 2 3
      
      my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=?, bsp_text=?"); $sth->execute($sorte, $animal); $sth->finish;
      
      Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
    - +5 replies
    - GwenDragon
      
      2009-04-10 09:02
      
      User since
      2005-01-17
      14745 Artikel
      Admin1
      
      2009-04-01T16:53:21 pq
      […] und ist dann vor so ziemlich allen XSS geschützt, fehlt dann nur noch das filtern bei sowas wie
      
      Code: (dl )
      
      <a href="$user_homepage">
      
      wo dann kein "javascript:..." drinstehen darf.
      Und onabcdef=, also Eventhandler, darf auch nicht dastehen!
      Wobei es auf die Browser ankommt wie XSS eingefügt wird.
      Manche Browser halten sich nämlich nicht daran, was da steht, werfen es nicht weg, sondern reparieren den Code so, dass er trotzdem als Javascript wird.
      Es gibt da eine schöne XSS-Vektor-Datenbank im WWW names XSSDb. Einfach mal googeln. Oder mal nach XSS (Cross Site Scripting) Cheat Sheet sichen.
      Last edited: 2009-04-10 09:03:40 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - pq
        
        2009-04-10 11:14
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        verstehe ich jetzt nicht? "onabcdef"?
        $user_homepage ist in meinem beispiel html-escaped.
        um javascript auszuschliessen, würde ich eine whitelist machen, also nur https?://... zulassen, das sollte genügen, denke ich.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
      - +3 replies
      - sid burn
        
        2009-04-10 22:38
        
        User since
        2006-03-29
        1520 Artikel
        BenutzerIn
        
        2009-04-10T07:02:00 GwenDragon
        Wobei es auf die Browser ankommt wie XSS eingefügt wird.
        Manche Browser halten sich nämlich nicht daran, was da steht, werfen es nicht weg, sondern reparieren den Code so, dass er trotzdem als Javascript wird.
        
        Obwohl ich finde das hier schon davor ein Fehler gemacht wurde. Wenn man eine Eingabe eines benutzers hat für eine Homepage, dann muss an dieser Stelle auch sichergestellt werden das auch eine URL eingegeben wurde, und nicht irgendetwas anderes.
        
        Hier sehe ich also eher das Problem das es keine vernünftige Input validierung gab.
        Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
        
        GwenDragon
        
        2009-04-11 10:45
        
        User since
        2005-01-17
        14745 Artikel
        Admin1
        
        Korrekt.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        pq
        
        2009-04-11 11:06
        
        User since
        2003-08-04
        12208 Artikel
        Admin1
        
        sehe ich. natürlich ist es sinnvoll, schon bei der eingabe zu prüfen, aber bei der ausgabe sollte man sich eben genau darauf nicht verlassen. also, bei der ausgabe auf jeden fall nochmal filtern.
        Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
        lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +2 replies
- Gast Monk
  
  2009-04-01 21:20
  Hallo, ich hatte eben schoneinmal diesen Post gemacht, aber entweder wurde er bis jetzt nicht freigeschaltet, oder mir ist ein fehler passiert.
  Werde mich aufjedenfall später mal registrieren :).
  
  Also hier ist einmal der komplette Code:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
  
  #!/usr/bin/perl use strict; use DBI; use CGI; use CGI qw(:standard); use CGI::Carp qw(fatalsToBrowser); my $dbh = DBI->connect('dbi:mysql:dbi_demo','root','r00t') || die "Keine MySql verbindung : $DBI::errstr<br>"; my $sorte = CGI::param('sorte'); my $animal = CGI::param('animal'); print "Content-type: text/html\n\n"; #my $animal = $dbh->quote($animal); #my $sorte = $dbh->quote($sorte); my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=?, bsp_text=?") || die "Konnte Statement nicht erstellen : $DBI::errstr<br>"; $sth->execute($sorte,$animal) || die "Konnte Statement nicht ausführen $DBI::errstr<br>"; $sth->finish; my $sth = $dbh->prepare( 'SELECT * FROM tbl_bsp' ) || die "Kann Statement nicht vorbereiten: $DBI::errstr\n"; $sth->execute() || die "Error $DBI::errstr<br>"; while ( my @ergebnis = $sth->fetchrow_array() ){ print "$ergebnis[0] $ergebnis[1] $ergebnis[2]<br>"; } $sth->finish; $dbh->disconnect;
  
  Wie muss ich nun beim einfügen quoten, und wie beim wiederauslesen ?
  Gibt es noch eine andere möglichkeit beim auslesen die zeichen zu escapen ?
  zb mittels suchen/ersetzen ?
  
  Möchte nämlich ersteinmal nicht das Template Modul benutzen, das wäre einfach zur Zeit zuviel für mich.
  
  MFG Monk :)
  - murphy
    
    2009-04-02 00:23
    User since
    2004-07-19
    1776 Artikel
    HausmeisterIn
    
    Guest Monk
    [...]
    Wie muss ich nun beim einfügen quoten, und wie beim wiederauslesen ?
    Gibt es noch eine andere möglichkeit beim auslesen die zeichen zu escapen ?
    zb mittels suchen/ersetzen ?
    [...]
    
    Beim Einfügen sieht Dein Code prima aus.
    
    Bei der Ausgabe produzierst Du weder einen validen Header noch valides HTML noch escapest Du die Daten aus der Datenbank. Hier besteht also Verbesserungsbedarf: Für ein ganz einfaches Skript wie dieses solltest Du Dir vielleicht mal die Routinen anschauen, die das CGI-Modul zum Generieren von HTTP-Headern und von HTML bereitstellt, also zum Beispiel statt Zeile 24
    
    Code (perl): (dl )
    
    print header('text/html');
    
    und statt Zeilen 43 bis 46
    
    Code (perl): (dl )
    
    1 2 3 4 5
    
    print start_html('Datenbanktest'), start_table; while (my @ergebnis = $sth->fetchrow_array()) { print Tr(map td(escapeHTML($_)), @ergebnis); } print end_table, end_html;
    
    Für alles was über einige wenige Zeilen HTML hinausgeht würde ich Dir aber auch eher ein Templatingsystem empfehlen.
    When C++ is your hammer, every problem looks like your thumb.
- Gast Monk
  
  2009-04-02 01:04
  
  Ok vielen Dank.
  Werde mich dann morgen mal nach der Arbeit mit dem Template Modul beschäftigen ;-)
  
  mfg Monk

View all threads created 2009-04-01 18:00.