anpera.net

So. Vorhin ist mir beim erstellen eines Formulares folgendes durch den Kopf:

Was ist, wenn der "Böse-User x" HTML kann, sich das Charakter-Erstellungsformular lokal erstellen, und sich das Formular völlig selbst gestalten.

Nun, kein Problem, denken die meisten, soll er doch, schliesslich kann er nichts bösartiges machen.
Doch dem ist nicht so!

"Böser-User x" kann sich anstatt Radio-Buttons einfach beim Geschlecht ein Text-Feld machen, und völlig andere Werte eingeben.
Wenn wir nun annehmen, dass LoGD die POST-Werte nicht maskieren würde, könnte der User sogar den Insert vollkommen manipulieren, sich Admin-Rechte verschaffen, und anschliessend bösartiges machen.
Nun, ihr könnt dankbar sein, dass das maskiert wird.
So kann "Böser-User x" nur anstatt 0 oder 1 eine 2 eingeben - Und schon stehen ihm Sowohl Männliche als auch Weibliche User.

Getestet ist es:
$this->bbcode_second_pass_code('', '<form action="http://URL-DES-SPIELS/create.php?op=create" method='POST'><br />

Wie willst du in dieser Welt heissen? <input name='name'><br />
Dein Passwort: <input type='password' name='pass1'><br />
Passwort bestätigen: <input type='password' name='pass2'><br />
Deine Email Adresse: <input name='email'> <br />
Du bist <input text name='sex' value='2' /><br />
<input type='submit' class='button' value='Charakter erstellen'><br />
</form>')

Und funktioniert wie vorher gesehen.

Irgendwelche Lösungsvorschläge?

Das gefällt mir aber ganz und gar nicht

Und was macht man nun dagegen?

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto

Das mit'm Geschlecht ist bei mir sicher!
Aber das mit'm Einloggen ohne Pw??

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto

Dank LoGD-Grundcode nicht möglich.
Jegliche Sonderzeichen (sofern in den Variablen _COOKIE, HTTP_COOKIE_VARS, _GET, HTTP_GET_VARS, _POST, HTTP_POST_VARS enthalten) für PHP werden maskiert (' wird zu \', " wird zu "), somit wird eine Eingabe für den Namen alà:
Arizto' AND 1=1--
Neutralisiert.

Gut, und noch besser, dass ich auf meinem Server nicht so heisse

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto

Und wenn magic quotes off sind xP

-Dann hat man ein sehr großes problem

Bez deiner Frage Eli...

Wäre es nicht möglich eine art Überprüfung zwischenzuschalten, die Testet, ob die eingegebenen Daten ein ein Raster Erlaubter eingaben passen? Bsp für Geschlecht:
[php]
if($_GET['sex'] != 1 && $_GET['sex'] != 0) {
//Fehler ausgeben
} else {
//Wert setzten, weitermachen
}[/php]

Also das ganze per php - das der "Böse User x" Ja nicht so einfach manipulieren kann - die Eingaben noch mal durchkauen und nur wirklich gestattete werte dann in vorgegebene Datenbankfelder einlesen. Mit den Funktionen für reguläre Ausdrücke lässt sich da ja shcon einiges machen - weben sowas wie '=' ausfiltern etc...

Nur mal so als Vorschlag.. ich hoffe das passt so auf deine Frage.

_________________
Mehr oder minder inaktiv

Ich hab's, wegen 'nem anderen Hack, bei mir eh schon so

[php]if ($HTTP_POST_VARS[sex]==0){
$sql = "INSERT INTO accounts
(name,
[...]
}elseif ($HTTP_POST_VARS[sex]==1){
$sql = "INSERT INTO accounts
(name,[/php]

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto

Man kanns auch gross machen, wenns kompakt geht

[php]'$HTTP_POST_VARS[sex]',[/php]

Einfach ersetzen mit:

[php]'".($_POST['sex']>1?1:$_POST['sex'])."', [/php]

Und schon müsste das Problem weg sein.

Wenn dann aber so:
$this->bbcode_second_pass_code('', ''".(intval($_POST['sex'])>1?1:intval($_POST['sex']))."',')

Denn mit intval, wird der String bzw. die dort enthaltenen Werte zu einem integer Wert konventiert, das heisst wenn zb. buchstaben oder so enthalten sind, werden diese Automatisch als 0 erkannt, je nachdem eben.

Lesen, Basi, lesen! Ich sagte doch, wegen eines anderen Hacks ...

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto

@ Kevz: Ist nicht von nöten. Soweit ich weiss wandelt MySQL alle Werte, die nicht in das Format passen (Also Buchstaben) entweder zu einer 0, weil sie ungültig sind, oder zu einer 1, weils ja true ist... Es ist im Endeffekt egal.
Eine Zahl wird es sowieso, also spar dir die Rechenleitung

@ Ari: Kuck mal Aurics Vorschlag an, dann meine
Dass es bei dir sowieso anders is, hast du mir schon gesagt.
Und übrigens, nimm $_POST, und nicht $HTTP_POST_VARS

Hättest du das nicht gesagt ... wär's mir gar nicht aufgefallen...

_________________
Legends of Imperencia ist mit folgenden Servern befreundet: Silienta, Pandyria, Kokoto