Hallo zusammen
Ich wurde angegangen, dass ich doch meine Erfahrungen mit der Anpassung an Dodos MySqlLib3 posten soll. Dies tu ich nun.
Allgemeines
Ausgangslage:
Vor einiger Zeit hat Dodo netterweise eine MySQL-Library (MySqlLib3) erstellt, die es schnell und einfach ermöglicht, aus VB MySQL-Queries auszuführen. Um die Library sicherer zu machen, hat er eine Verschlüsselung eingebaut (mittels einem SHA1-Key). Es hat sich allerdings herausgestellt, dass diese Verschlüsselung mit etwas Fachwissen gut zu knacken ist. Das entsprechende Tool wurde hier auch veröffentlicht. Mehr dazu in folgendem Thema: Bringt eure Datenbanken in Sicherheit
Die MySqlLib3 hat aber auch ein anderes grundlegendes Problem: alle SQL-Statements werden komplett in VB zusammengestellt, sprich: VisualBasic übergibt das fertige Query an die Library. Dies ist aber äusserst gefährlich. Mit etwas Aufwand ist es recht leicht möglich, den Datenverkehr zu manipulieren und andere Queries zur Datenbank zu schicken. Auch ist der Schutz vor SQL-Injection nicht komplett gegeben.
Für mein aktuelles Projekt habe ich nun versucht - auch der Basis der MySqlLib3 - die ganze Sache etwas sicherer zu gestalten. Denn: die Idee mit der Verschlüsselung ist grundsätzlich eine Gute und bietet zumindest ansatzweise einen Schutz. Aber leider nicht den Schutz, den ein öffentlich verfügbares Programm mit Zugriff auf eine MySQL-Datenbank eigentlich benötigt.
Umsetzung:
Die Umsetzung erfolgt folgendermassen:
- Die MySqlLib3 von Dodo wird grundsätzlich beibehalten. Die DLL-Datei wurde in keinster Weise angepasst, ebensowenig die Einbindung in VisualBasic
- Die Übergabe der Daten an die MySqlLib erfolgt anders
- Serverseitig wird die class.query.php massiv angepasst
Einfache Nutzung:
Meine Anpassungen führen dazu, dass bei neuen SQL-Statements leicht mehr Arbeit anfällt. Es reicht nicht, diese in VB zu erstellen, sondern die Statements müssen jeweils im PHP-File eingetragen werden. Eventuell gibt es auch einfachere Ansätze, für mich hat die hier vorliegende Version erstmal gestimmt.
Disclaimer:
mir ist bewusst, dass dies nicht die endgültige Weisheit ist, was ich hier zeige. Es ist ein Ansatz und unknackbar wird er auch nicht sein ;).
So, nun aber zum Eingemachten.
Ausführung
VisualBasic
Ich gehe hier davon aus, dass die MySqlLib3 von Dodo installiert und in das Projekt eingebunden ist. Die Funktionsweise ändert sich auch nicht gross. Einzig das Übergeben eines Queries wird nur mit Argumenten erledigt. Im Beispielprojekt wird die Query folgendermassen erstellt bzw. ausgeführt:
Für uns wichtig ist aber eigentlich nur der Aufruf der Abfrage:
Man kann also mit db.Query("") jedes beliebige Query absetzen. Meine Variante ist leicht anders: Diese sieht es vor, dass nur eine Querynummer (wird im PHP-Script ausgelesen) sowie die nötigen Argumente weitergeben werden. Am Beispiel oben:
Die 1 steht dabei als Parameter, dass das PHP-Script später die richtige Query aufruft, 80 ist der übergebene Parameter. Als separator dient das |-Zeichen. Das |-Zeichen im übrigen deshalb, weil es z.B. in Dateinamen etc. nicht erlaubt ist. Je nach dem, was man in der Query übergibt, kann das wichtig sein.
Wenn man unterschiedliche Queries absetzen möchte, macht es Sinn, den Aufruf mittels Variable zu lösen:
So kann man den Aufruf und das Einlesen irgendwo in einer Function oder einer Sub ablegen und das Query von sonstwo aus befüllen und die Funktion aufrufen.
Das war schon alles, was es in VisualBasic grundsätzlich zu beachten gibt.
PHP
PHP-seitig wird es etwas komplizierter. Deshalb stelle ich ein Beispielscript in den Anhang. Auf dieses beziehe ich mich
Für die Anpassungen muss die Datei "class.query.php" im Ordner "lib" der Scriptfiles angepasst werden. Macht euch bitte eine Sichrheitskopie, bevor ihr loslegt.
Im ersten Schritt werden die beiden benötigten Dateien (config und die class.request) eingebunden. Dies hat sich nicht verändert. Im zweiten Schritt wird die Datenbankverbindung mit PDO getestet:
Anschliessend folgt ein grosser, unveränderter Block der MySqlLib3, der die Nutzung ausschliesslich durch die Library prüft, sprich dann auch den SHA1-Key kontrolliert:
Anschliessend werden die Daten aus VisualBasic via Post ausgelesen und entschlüsselt:
Den String müssen wir jetzt erstmal zerlegen. Danach werden die einzelnen Werte einem Array zugeführt (query_array)
Wie bereits erwähnt, wird der erste Parameter dafür zuständig sein, das korrekt Query zu erkennen. Deshalb wird diese Zahl gleich mal in eine eigene Variable abgelegt.
Der Hauptteil der Arbeit besteht nun aus dem Bauen der Queries. Wie schon erwähnt, müssen wir alle unterschiedlichen Queries in die PHP-Datei einfügen. Ich habe dies hier direkt in der class.query.php erledigt, es ist aber - zur besseren Übersicht - natürlich auch möglich, dies in eine eigene Datei auszulagern und mittels include an der entsprechenden Stelle einzubinden.
Hier der Teil mit meinen drei Beispielqueries:
Die If-Abfragen muss ich nicht gross erklären. Hier wird jeweils die Query-Nummer abgefragt:
Wie ihr sehen könnt, ist der Aufbau einer Query nicht gross anders. Auf einige Dinge möchte ich aber hinweisen. Dazu nehmen wir folgendes Query:
- Hier nutzen wir PDO (PHP Data Objects) mit sogenannten prepared Statements. Dies ist eine sichere Sache, vor allem für unsere Parameter, die übermittelt wurden. PDO sichert dabei die Statments und die Parameter selbständig gegen SQL-Injections ab, so dass wir beispielsweise die Variablen nicht mehr escapen müssen.
- Die Variablen sind direkt im Statement und müssen nicht erst mit Schlusszeichen, Punkt, Variable, Punkt, Anführungszeichen eingegliedert werden. Auch die Variablen benötigen selbst keine Hochkommatas mehr. PDO fügt diese selbständig hinzu.
- Die Parameter werden im obigen Beispiel mit :param1 und :param2 eingebunden. Ihr könnt die auch anders nennen, aber da ich bei 14 Abfragen nicht für jeden Wert eine eigene Variable setzen will, habe ich den Begriff allgemein gehalten und die nötigen Parameter nummeriert.
Ich möchte euch hier noch auf eine Besonderheit hinweisen, wenn es um Unscharfe Abfragen geht. Normalerweise würde man dies ja in der Query so handhaben: .
Bei PDO müssen wir die % bereits davor in den Parameter hineinverfrachten. Deshalb habe ich beim Query 2 diese noch vor dem Query erstellen angehängt:
Das war schon alles, was die Abfragen anbelangt.
Jetzt fragt ihr euch vielleicht, woher die Parameter :param1 und :param2 kommen sollen.
Nur die Ruhe, diese werden jetzt, NACH dem Erstellen der Queries definiert. Wenn die Parameter vor den Queries gesetzt werden, führt dies zu einem Fehler.
Und so wirds gemacht:
Ich binde also meinen Wert an den Parameter :param1. Es ist der zweite Wert in meinem Array mit meinen übergebenen Parametern (ihr erinnert euch ans Aufsplitten und ins Array einfügen weiter oben). Das Gleiche macht ihr mit allen restlichen Parametern, die vorkommen könnten. Jetzt kommt noch der leichte Haken: "könnten". In meinem Script für ein Projekt habe ich derzeit 14 Queries mit einer unterschiedlichen Anzahl Parametern. Das Maximum ist 7, das Miniumum ist einer. Ich muss also bis zu 7 Parameter abfangen und anbinden. Das Problem ist, dass binParam keine leeren Variablen verträgt, sonst zickt PHP rum. Um das zu verhindern, habe ich einfach hier auch nochmal bisschen mit IFs um mich geworfen und prüfe, ob die entsprechenden Variablen überhaupt da sind:
So, alles bereit... dann wollen wir das Query ausführen. Egal ob wir schreibend oder lesend auf die DB zugreifen, der Aufruf ist immer:
Ich unterscheide nun, ob es sich um ein lesendes oder ein schreibendes Query handelt. Dazu frag ich einfach ab, welche Querynummer wir haben:
Die erste Zeile kann natürlich mit OR um alle schreibenden Queries erweitert werden. Anschliessend wir lediglich das OK an die MySqlLib zurückgeschickt.
Der zweite Teil ist etwas umfangreicher. Hier möchte ich ja auch die Ergebnisse zurückgeben:
Darauf möchte ich noch kurz eingehen: im ersten Schritt wird das Restultat abgerufen (fetch) und in eine Variable gespeichert. Danach prüfe ich, ob überhaupt etwas drin steht:
Wenn ja, wird jede Zeile ausgelesen und wiederum in ein Array geschrieben:
Der restliche Teil entspricht wieder dem MySqlLib3-Standard und bringt nun das Resultat in eine Form, um es zurückzugeben. Anschliessend wird noch der OK-Status mitgegeben.
War der Rückgabewert bei der IF-Abfrage leer, so wird ein OK - No Result zurückgegeben:
That's it - nothing further to do
Demo-PHP-Script (korrigierte Version) zum Download:
class.query_sample.zip
Schluss:
Die MySQL-Abfragen so zu gestalten ist etwas aufwändiger. Jede unterschiedliche Abfrage muss separat erfasst werden und in VB müssen die Parameter übergeben werden. Auch wenn es mehr arbeit macht, so ist diese Variante doch sicherer. Wie bereits eingangs erwähnt, ist dies definitiv nicht der Weisheit letzter Schluss, zumal meine PHP- Kentnisse recht eingerostet sind ;). Also dürft ihr gerne Vorschläge für Verbesserungen und Kritig anbringen :).
Gruss,
KlyX
Ich wurde angegangen, dass ich doch meine Erfahrungen mit der Anpassung an Dodos MySqlLib3 posten soll. Dies tu ich nun.
Allgemeines
Ausgangslage:
Vor einiger Zeit hat Dodo netterweise eine MySQL-Library (MySqlLib3) erstellt, die es schnell und einfach ermöglicht, aus VB MySQL-Queries auszuführen. Um die Library sicherer zu machen, hat er eine Verschlüsselung eingebaut (mittels einem SHA1-Key). Es hat sich allerdings herausgestellt, dass diese Verschlüsselung mit etwas Fachwissen gut zu knacken ist. Das entsprechende Tool wurde hier auch veröffentlicht. Mehr dazu in folgendem Thema: Bringt eure Datenbanken in Sicherheit
Die MySqlLib3 hat aber auch ein anderes grundlegendes Problem: alle SQL-Statements werden komplett in VB zusammengestellt, sprich: VisualBasic übergibt das fertige Query an die Library. Dies ist aber äusserst gefährlich. Mit etwas Aufwand ist es recht leicht möglich, den Datenverkehr zu manipulieren und andere Queries zur Datenbank zu schicken. Auch ist der Schutz vor SQL-Injection nicht komplett gegeben.
Für mein aktuelles Projekt habe ich nun versucht - auch der Basis der MySqlLib3 - die ganze Sache etwas sicherer zu gestalten. Denn: die Idee mit der Verschlüsselung ist grundsätzlich eine Gute und bietet zumindest ansatzweise einen Schutz. Aber leider nicht den Schutz, den ein öffentlich verfügbares Programm mit Zugriff auf eine MySQL-Datenbank eigentlich benötigt.
Umsetzung:
Die Umsetzung erfolgt folgendermassen:
- Die MySqlLib3 von Dodo wird grundsätzlich beibehalten. Die DLL-Datei wurde in keinster Weise angepasst, ebensowenig die Einbindung in VisualBasic
- Die Übergabe der Daten an die MySqlLib erfolgt anders
- Serverseitig wird die class.query.php massiv angepasst
Einfache Nutzung:
Meine Anpassungen führen dazu, dass bei neuen SQL-Statements leicht mehr Arbeit anfällt. Es reicht nicht, diese in VB zu erstellen, sondern die Statements müssen jeweils im PHP-File eingetragen werden. Eventuell gibt es auch einfachere Ansätze, für mich hat die hier vorliegende Version erstmal gestimmt.
Disclaimer:
mir ist bewusst, dass dies nicht die endgültige Weisheit ist, was ich hier zeige. Es ist ein Ansatz und unknackbar wird er auch nicht sein ;).
So, nun aber zum Eingemachten.
Ausführung
VisualBasic
Ich gehe hier davon aus, dass die MySqlLib3 von Dodo installiert und in das Projekt eingebunden ist. Die Funktionsweise ändert sich auch nicht gross. Einzig das Übergeben eines Queries wird nur mit Argumenten erledigt. Im Beispielprojekt wird die Query folgendermassen erstellt bzw. ausgeführt:
Für uns wichtig ist aber eigentlich nur der Aufruf der Abfrage:
Man kann also mit db.Query("") jedes beliebige Query absetzen. Meine Variante ist leicht anders: Diese sieht es vor, dass nur eine Querynummer (wird im PHP-Script ausgelesen) sowie die nötigen Argumente weitergeben werden. Am Beispiel oben:
Die 1 steht dabei als Parameter, dass das PHP-Script später die richtige Query aufruft, 80 ist der übergebene Parameter. Als separator dient das |-Zeichen. Das |-Zeichen im übrigen deshalb, weil es z.B. in Dateinamen etc. nicht erlaubt ist. Je nach dem, was man in der Query übergibt, kann das wichtig sein.
Wenn man unterschiedliche Queries absetzen möchte, macht es Sinn, den Aufruf mittels Variable zu lösen:
So kann man den Aufruf und das Einlesen irgendwo in einer Function oder einer Sub ablegen und das Query von sonstwo aus befüllen und die Funktion aufrufen.
Das war schon alles, was es in VisualBasic grundsätzlich zu beachten gibt.
PHP
PHP-seitig wird es etwas komplizierter. Deshalb stelle ich ein Beispielscript in den Anhang. Auf dieses beziehe ich mich
Für die Anpassungen muss die Datei "class.query.php" im Ordner "lib" der Scriptfiles angepasst werden. Macht euch bitte eine Sichrheitskopie, bevor ihr loslegt.
Im ersten Schritt werden die beiden benötigten Dateien (config und die class.request) eingebunden. Dies hat sich nicht verändert. Im zweiten Schritt wird die Datenbankverbindung mit PDO getestet:
Anschliessend folgt ein grosser, unveränderter Block der MySqlLib3, der die Nutzung ausschliesslich durch die Library prüft, sprich dann auch den SHA1-Key kontrolliert:
Anschliessend werden die Daten aus VisualBasic via Post ausgelesen und entschlüsselt:
Den String müssen wir jetzt erstmal zerlegen. Danach werden die einzelnen Werte einem Array zugeführt (query_array)
Wie bereits erwähnt, wird der erste Parameter dafür zuständig sein, das korrekt Query zu erkennen. Deshalb wird diese Zahl gleich mal in eine eigene Variable abgelegt.
Der Hauptteil der Arbeit besteht nun aus dem Bauen der Queries. Wie schon erwähnt, müssen wir alle unterschiedlichen Queries in die PHP-Datei einfügen. Ich habe dies hier direkt in der class.query.php erledigt, es ist aber - zur besseren Übersicht - natürlich auch möglich, dies in eine eigene Datei auszulagern und mittels include an der entsprechenden Stelle einzubinden.
Hier der Teil mit meinen drei Beispielqueries:
Die If-Abfragen muss ich nicht gross erklären. Hier wird jeweils die Query-Nummer abgefragt:
Wie ihr sehen könnt, ist der Aufbau einer Query nicht gross anders. Auf einige Dinge möchte ich aber hinweisen. Dazu nehmen wir folgendes Query:
- Hier nutzen wir PDO (PHP Data Objects) mit sogenannten prepared Statements. Dies ist eine sichere Sache, vor allem für unsere Parameter, die übermittelt wurden. PDO sichert dabei die Statments und die Parameter selbständig gegen SQL-Injections ab, so dass wir beispielsweise die Variablen nicht mehr escapen müssen.
- Die Variablen sind direkt im Statement und müssen nicht erst mit Schlusszeichen, Punkt, Variable, Punkt, Anführungszeichen eingegliedert werden. Auch die Variablen benötigen selbst keine Hochkommatas mehr. PDO fügt diese selbständig hinzu.
- Die Parameter werden im obigen Beispiel mit :param1 und :param2 eingebunden. Ihr könnt die auch anders nennen, aber da ich bei 14 Abfragen nicht für jeden Wert eine eigene Variable setzen will, habe ich den Begriff allgemein gehalten und die nötigen Parameter nummeriert.
Ich möchte euch hier noch auf eine Besonderheit hinweisen, wenn es um Unscharfe Abfragen geht. Normalerweise würde man dies ja in der Query so handhaben: .
Bei PDO müssen wir die % bereits davor in den Parameter hineinverfrachten. Deshalb habe ich beim Query 2 diese noch vor dem Query erstellen angehängt:
Das war schon alles, was die Abfragen anbelangt.
Jetzt fragt ihr euch vielleicht, woher die Parameter :param1 und :param2 kommen sollen.
Nur die Ruhe, diese werden jetzt, NACH dem Erstellen der Queries definiert. Wenn die Parameter vor den Queries gesetzt werden, führt dies zu einem Fehler.
Und so wirds gemacht:
Ich binde also meinen Wert an den Parameter :param1. Es ist der zweite Wert in meinem Array mit meinen übergebenen Parametern (ihr erinnert euch ans Aufsplitten und ins Array einfügen weiter oben). Das Gleiche macht ihr mit allen restlichen Parametern, die vorkommen könnten. Jetzt kommt noch der leichte Haken: "könnten". In meinem Script für ein Projekt habe ich derzeit 14 Queries mit einer unterschiedlichen Anzahl Parametern. Das Maximum ist 7, das Miniumum ist einer. Ich muss also bis zu 7 Parameter abfangen und anbinden. Das Problem ist, dass binParam keine leeren Variablen verträgt, sonst zickt PHP rum. Um das zu verhindern, habe ich einfach hier auch nochmal bisschen mit IFs um mich geworfen und prüfe, ob die entsprechenden Variablen überhaupt da sind:
So, alles bereit... dann wollen wir das Query ausführen. Egal ob wir schreibend oder lesend auf die DB zugreifen, der Aufruf ist immer:
Ich unterscheide nun, ob es sich um ein lesendes oder ein schreibendes Query handelt. Dazu frag ich einfach ab, welche Querynummer wir haben:
Die erste Zeile kann natürlich mit OR um alle schreibenden Queries erweitert werden. Anschliessend wir lediglich das OK an die MySqlLib zurückgeschickt.
Der zweite Teil ist etwas umfangreicher. Hier möchte ich ja auch die Ergebnisse zurückgeben:
Darauf möchte ich noch kurz eingehen: im ersten Schritt wird das Restultat abgerufen (fetch) und in eine Variable gespeichert. Danach prüfe ich, ob überhaupt etwas drin steht:
Wenn ja, wird jede Zeile ausgelesen und wiederum in ein Array geschrieben:
Der restliche Teil entspricht wieder dem MySqlLib3-Standard und bringt nun das Resultat in eine Form, um es zurückzugeben. Anschliessend wird noch der OK-Status mitgegeben.
War der Rückgabewert bei der IF-Abfrage leer, so wird ein OK - No Result zurückgegeben:
That's it - nothing further to do
Demo-PHP-Script (korrigierte Version) zum Download:
class.query_sample.zip
Schluss:
Die MySQL-Abfragen so zu gestalten ist etwas aufwändiger. Jede unterschiedliche Abfrage muss separat erfasst werden und in VB müssen die Parameter übergeben werden. Auch wenn es mehr arbeit macht, so ist diese Variante doch sicherer. Wie bereits eingangs erwähnt, ist dies definitiv nicht der Weisheit letzter Schluss, zumal meine PHP- Kentnisse recht eingerostet sind ;). Also dürft ihr gerne Vorschläge für Verbesserungen und Kritig anbringen :).
Gruss,
KlyX
Chris' Weblog - Mein Blog rund um Vieles 
