Parameter aus DB direkt bereinigen (gelöst) (Datenbanken und Verzeichnisdienste)

[thread]15445[/thread]

Parameter aus DB direkt bereinigen [gelöst]

Leser: 20

Articles: hide open all | hide show old branches

+7 replies
karhuso

2010-09-06 14:40

User since
2010-09-06
6 Artikel
BenutzerIn

Hallo,

folgendes zum System
Perl 5.8
Sun Solaris
Oracle 9

Um eingeschleusten schadhaften Code unschädlich zu machen, bin ich auf der Suche nach einem Befehl (evtl. dbi), der es mir ermöglicht während, vor oder auch nach einem fetch, die Daten aus der Datenbank mittels diesem schadfrei zu bekommen. Ähnlich wie escape_html().

Problem ist, dass unsere kompletten Anwendungen so implementiert wurden, dass die einzelenen Parameter mittels bind_columns ausgelesen werden, da sich die Anzahl der Parameter teilweise auf 50 beläuft wäre es unpraktisch alle Parameter mit escape_html() zu bearbeiten.

Eine allgemeine Lösung über den Apache o. ä. ist leider auch nicht möglich, da es Anwendungen gibt, die HTML Code schon in der DB erstellen, diese würden dann ein wenig crashen ;-)

Ich hoffe ich habe mich einigermaßen verständlich ausgedrückt... falls nicht... fragen ;-)

Evtl. hat ja jemand einen Lösungsansatz oder einen Hinweis dem man nachgehen könnte...... Tainted Mode wurde schon in Betracht gezogen, hilft aber nicht bei der aktuellen Problemlösung.

Gruß Björn
Last edited: 2010-09-06 14:41:47 +0200 (CEST)
- +6 replies
- pq
  
  2010-09-06 15:11
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  2010-09-06T12:40:27 karhuso
  Um eingeschleusten schadhaften Code unschädlich zu machen
  
  man kann code nicht generell unschädlich machen.
  für DBI sind eingeschleuste quotes und kommentarzeichen z.b. gefährlich. für die shell das semikolon, & usw.
  für die darstellung im browser sind <> und & gefährlich.
  
  du müsstest also erstmal sagen, was du da für einen input hast und wo der dargestellt werden soll.
  gäbe es eine generelle lösung, code überall und für jeden output unschädlich zu machen, würde sie wohl jeder heute benutzen, aber das geht nicht.
  
  wenn es für HTML-output ist, benutze ein vernünftiges template-modul, welches dir default-escaping bietet, so dass du nur im umgekehrten fall angeben muss, dass du gerade mal nicht escapen willst.
  z.b. HTML::Template oder HTML::Template::Compiled. bei Template-Toolkit soll das auch irgendwie gehen, ist aber komplizierter.
  
  für DBI gibt es platzhalter.
  für shell-kommandos gibt es z.b. system() mit mehreren parametern oder module wie IPC::Run.
  Last edited: 2010-09-06 15:12:49 +0200 (CEST)
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
  - +5 replies
  - karhuso
    
    2010-09-06 16:15
    
    User since
    2010-09-06
    6 Artikel
    BenutzerIn
    
    Die Inputs kommen von HTML Seiten mit Formularen.
    Es geht hier um ein HTML -Output.
    Templates wären eine Möglichkeit, da die Anwendungen aber bestehen (und ich spreche hier von mehreren tausend Scripten), wäre eine Umstellung auf Templates sehr kosten- und auch zeitintensiv--> fällt also raus.
    
    Ich habe mich jetzt für die Variante Subfunktion bzw. Perlmodul entschieden.
    Ich werde ein bestehendes (eigenes) Perlmodul um eine weiter Funktion ergänzen, welche mir Datenbankinhalte für einen Html-Output unschädlich macht.
    
    Template Toolkit ist bei uns schon in der Anwendung, aber nur bei Neuentwicklungen;-)
    
    Für Inserts verwenden wir natürlich Platzhalter (param_in_out etc.)
    
    Danke für die Antworten
    
    Gruß Björn
    - pq
      
      2010-09-06 16:21
      
      User since
      2003-08-04
      12208 Artikel
      Admin1
      
      tja, das ist halt das problem mit altem code.
      man scheut davor zurück, eine zeitintensive änderung zu machen, weil es ja alter code ist und man möglichst wenig noch dran ändern will. dafür verbringt man dann zeit damit, workarounds dafür zu schreiben.
      irgendwann hat man mehr zeit damit verbracht, workarounds zu schreiben, als es gekostet hätte, ein grundlegendes refactoring zu machen.
      aber leider ist es auch oft so, dass man vom chef einfach die zeit nicht bekommt, weil der nur kurzfristig denkt...
      
      ich jedenfalls kann nur nochmal sagen, ich möchte ohne default_escape nie, nie mehr arbeiten. XSS-lücken, die durch ein versehentlich vergessenes html-escaping entstehen, sind einfach peinlich und wären eben leicht zu vermeiden gewesen.
      Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
      lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - +3 replies
    - karhuso
      
      2010-09-07 10:34
      
      User since
      2010-09-06
      6 Artikel
      BenutzerIn
      
      falls Interesse an der Lösung besteht:
      
      Kritik oder Verbesserungen sind jederzeit willkommen;-)
      
      Die Subfunktion clean_html wird in ein bestehendes Perlmodul integriert.
      
      Code: (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54
      
      #--------------------------------------------------------------------------------------------------------# # Herstellen der Datenbankverbindung #--------------------------------------------------------------------------------------------------------# our $db = DBTools->new(); $dbh = $db->connect_($cfg->val('connection', 'data_source'), $cfg->val('connection', 'user'), $cfg->val('connection', 'pass')); #--------------------------------------------------------------------------------------------------------# # SQL aufbauen #--------------------------------------------------------------------------------------------------------# $sql = qq~ SELECT html, html2 FROM pkv.a_test_fetch ~; $sth = $dbh->prepare($sql) || &Error ("Datenbankfehler 1 prepare!\n",$dbh->errstr,""); $sth->execute() || &Error ("Datenbankfehler 1 execute!\n",$dbh->errstr,""); $sth->bind_columns(undef, \$html, \$html2) || &Error ("Datenbankfehler 1 bind_col!\n",$dbh->errstr,""); while(defined(&clean_html($sth->fetch()))){ print "\nHTML: $html\n"; print "\nHTML2: $html2\n"; }#ende while $sth->finish() || &Error ("Datenbankfehler 1 finish!\n",$dbh->errstr,""); #--------------------------------------------------------------------------------------------------------# # Subfunktion clean_html #--------------------------------------------------------------------------------------------------------# sub clean_html($){ my $array_ref = shift; if(ref($array_ref) eq 'ARRAY'){ my $counter = 0; foreach (@{$array_ref}) { @{$array_ref}[$counter] = CGI::escapeHTML($_); $counter++; }#ende foreach return $array_ref; } else{ return undef; } }#ende sub
      
      Last edited: 2010-09-07 10:38:06 +0200 (CEST)
      - +2 replies
      - renee
        
        2010-09-07 10:38
        
        User since
        2003-08-04
        14371 Artikel
        ModeratorIn
        
        Quote
        
        Code (perl): (dl )
        
        1 2 3 4 5 6
        
        my $counter = 0; foreach (@{$array_ref}) { @{$array_ref}[$counter] = CGI::escapeHTML($_); $counter++; }#ende foreach
        
        Schreibst Du besser als
        
        Code (perl): (dl )
        
        1 2 3
        
        foreach (@{$array_ref}) { $_ = CGI::escapeHTML($_); }#ende foreach
        
        Und damit es lesbarer wird:
        
        Code (perl): (dl )
        
        1 2 3
        
        for my $element ( @{ $array_ref } ) { $element = CGI::escapeHTML( $element ); }#ende for
        
        OTRS-Erweiterungen (http://feature-addons.de/)
        Frankfurt Perlmongers (http://frankfurt.pm/)
        --
        
        Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
        Perl-Entwicklung: http://perl-services.de/
        
        karhuso
        
        2010-09-07 10:50
        
        User since
        2010-09-06
        6 Artikel
        BenutzerIn
        
        Danke:-)
        
        hab den ersten Verbesserungsvorschlag direkt übernommen.
        
        und der 2. .... ist schon lesbar genug nur mit $_ ;-)
        
        Gruß Björn

View all threads created 2010-09-06 14:40.