Tach!

Server prüft jetzt die Länge des QUERY_STRING. Was über 50 ist, wird nicht beantwortet.

Ganz schlechter Plan. Besser ist es, die Parameter zu prüfen. Der Parser erzeugt:

Array
(
    [ORT] => 9628
    [KM] => 259
    [lg] => en AND 1=2 UNION SELECT 0x6461726b31636f6465,0x64..
)

Und Dein Programm macht was? Richtig, es prüft, ob derjenige Parameter gesetzt ist, welcher die Aktion "Datenbankabfrage" veranlasst. Welcher Parameter soll das sein, ORT, KM, lg???

Wahrscheinlich eher nicht und schon ist die Frage, was mit dem Request passieren soll beantwortet: weg damit.

lg wie in language klingt nach einem möglichen Parameter für die Datenbankabfrage. Auch die beiden anderen Parameter klingen in dem Kontext dessen, was Linuchs entwickelt, nach gültigen Parametern. Das Verwerfen von Anfragen mit unbekannten Parameteren kann also nicht die alleinige Lösung sein, weil dann immer noch die Aufrufe mit gültigen Parametern durchkommen, die Angriffsversuche enthalten können. Solange man seine Daten stets kontextgerecht ausgibt/verwendet, hat man zwar vielleicht Müll irgendwo stehen, der aber nichts ausführen kann, weil er als harmlose Zeichen maskiert wurde. Kontextgerechte Behandlung ist in jedem Fall notwendig, auch harmlose Eingaben können Sonderzeichen enthalten, die zumindest zu Syntaxfehlern führen, wenn man sie nicht richtig behandelt.

Außerdem musst Du damit rechnen das solche unbekannten Parameter auch per POST oder PUT reinkommen können.

Was ignoriert wird kann keinen Schaden anrichten. Da man für den Rest sowieso kontextgerechte Behandlung benötigt, braucht man im Prinzip keine weitere spezielle Abwehrmaßnahme gegen Injectionversuche. Eingabemüll aus der Datenbank löschen muss generell, das hat nichts mit der Art des Angriffs zu tun.

Unabhängig von dieser Betrachtung kann man zusätzlich gezielte Gegenmaßnahmen für bestimmte Angriffsmuster einbauen, das aber lediglich mit dem Ziel, weniger Müllbereinigung durchführen zu müssen, oder das System zu entlasten, indem man ihm unerwünschte Abfragen erspart.

Eine generelle Längenbegrenzung für den Querystring halte ich aber auch nicht unbedingt für eine allgemein gute Lösung. Da muss man schon seine Anwendung gut genug kennen, um nicht doch irgendwelche Kollateralschäden mit dieser Maßnahme zu erzeugen. Besser fände ich, die erwarteten Parameter auf fachlich gültige Inhalte zu prüfen. Wenn zu, Beispiel das Sprachkürzel immer zwei Zeichen lang ist, könnte man das prüfen, oder auch gegen eine Liste der gültigen Werte.

dedlfix.