-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
защиты от SQL Injection
- Автор темы tolik777
- Дата начала
GeT
Новичок
Просто прослешить кавычки не всегда достаточно...
Скажем, если есть дырка на Injecion то юзера и хеш пароля можно узать и без всяких кавычек.
Вообще, если получаешь от юзера какие-либо данные, их надо проверять. Эсли это, скажем, целочисленные значения, их надо intval().
Если это строки, тут уже погеморней, ты должен сам знать что тебе должны передавать и исходя из этого отсекать все лишнее.
Скажем, если есть дырка на Injecion то юзера и хеш пароля можно узать и без всяких кавычек.
Вообще, если получаешь от юзера какие-либо данные, их надо проверять. Эсли это, скажем, целочисленные значения, их надо intval().
Если это строки, тут уже погеморней, ты должен сам знать что тебе должны передавать и исходя из этого отсекать все лишнее.
neko
tеam neko
camka
sql injection это вставка в запрос sql конструкций которые там программистом, скажем так, не предпологались.
поэтому еще раз, твой пример к вопросу отношения не имеет.
чтобы было понятней, я приведу пример попроще.
допустим надо вернуть пользователю васе его пароль
select password from users where name = "{$_POST['myname']}"
вася конечно может испортить нашу форму и передать не свое имя.
но это не будет является sql injection.
это совсем другая проблема.
sql injection это вставка в запрос sql конструкций которые там программистом, скажем так, не предпологались.
поэтому еще раз, твой пример к вопросу отношения не имеет.
чтобы было понятней, я приведу пример попроще.
допустим надо вернуть пользователю васе его пароль
select password from users where name = "{$_POST['myname']}"
вася конечно может испортить нашу форму и передать не свое имя.
но это не будет является sql injection.
это совсем другая проблема.
GeT
Новичок
neko
http://твой_сайт.ru/id=1+union+select+null,..,mysql.user.password,null,..,null+FROM+mysql.user+LIMIT+0,1/*
Количество null надо подобрать.
Данная конструкция объединяет результаты 2 запросов.
Соответственно, нужно узнать, какое из полей выводится на экран и вместо него вставить mysql.user и будет тебе щастье.
Как видишь, кавычки тут нигде не используются.
АХ ДА! Для тех, кто любит выводить строковые значения! Есть в MySQL функция char, которая ASCII-коды преобразует в символы. Работает вот так char(34,56,77).
P.S. Данная вещь работает в версиях MySQL выше 4ой.
P.P.S. Можешь не принимать сколько угодно, легче тебе от этого не станет.
P.P.P.S. Есть еще вариант, когда после запроса не происходит никакого вывода. Тогда можно просто подобрать (это уже более сложно, но тоже работает)
http://твой_сайт.ru/id=1+union+select+null,..,mysql.user.password,null,..,null+FROM+mysql.user+LIMIT+0,1/*
Количество null надо подобрать.
Данная конструкция объединяет результаты 2 запросов.
Соответственно, нужно узнать, какое из полей выводится на экран и вместо него вставить mysql.user и будет тебе щастье.
Как видишь, кавычки тут нигде не используются.
АХ ДА! Для тех, кто любит выводить строковые значения! Есть в MySQL функция char, которая ASCII-коды преобразует в символы. Работает вот так char(34,56,77).
P.S. Данная вещь работает в версиях MySQL выше 4ой.
P.P.S. Можешь не принимать сколько угодно, легче тебе от этого не станет.
P.P.P.S. Есть еще вариант, когда после запроса не происходит никакого вывода. Тогда можно просто подобрать (это уже более сложно, но тоже работает)
camka
не самка
Это было рекомендацией? Больше похоже на утверждение, которое, причем, можно понять двояко: как "возможно заключить любой тип в кавычки и mysql не выдаст ошибку парсинга" или "програмист должен сувать все параметры, пришедшие от пользователя, в кавычки, прежде чем послать строку запроса mysql серверу"
И, кстати, когда я писал свой пост, твоего еще не было.
tolik777
достаточно
не можем
читать PHP FAQ: \"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.
достаточно
не можем
читать PHP FAQ: \"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.
camka
не самка
Фанат
Не достаточно!!!
Для того, чтобы было достаточно, необходимо заключать все параметры, а не только строковых типов, в кавычки. Этого же нигде, включая и приведенный тобой ресурс, не указано. Есть лишь рекомендация
"То есть, для надежности, любые данные, вставляемые в запрос, мы будем заключать в кавычки."
Прямого же указания, что так и только так надо делать вы нигде на встретите.
Итог:
Использование одной лишь функции myql_escape_string достаточно для защиты от sql_injection аттаки лишь в том случае, когда любые передаваемые пользователем параметры (где возможно) обособляются кавычками, и где невозможно, данные отдельно проверяются на опасность (как в описаной вами функции LIMIT).
P.S. Кроме всего прочего, (это не совсем про sql injection, но близко) в случае если в скрипте присутствует поиск типа LIKE и вы не желаете позволять пользователю самому определять шаблон поиска, необходимо удваивать специальные символы "%" и "_".
Например, если у вас доступен поиск по какому-то полю, учитывая заданный префикс ( WHERE some_field LIKE '{$preescaped_user_input}%' )
если пользователь введет специальный символ % в начало искомой фразы, то при определенный, но не невозможный условиях, запрос может затянуться на долго, чего бы вам, я полагаю, не хотелось.
Не достаточно!!!
Для того, чтобы было достаточно, необходимо заключать все параметры, а не только строковых типов, в кавычки. Этого же нигде, включая и приведенный тобой ресурс, не указано. Есть лишь рекомендация
"То есть, для надежности, любые данные, вставляемые в запрос, мы будем заключать в кавычки."
Прямого же указания, что так и только так надо делать вы нигде на встретите.
Итог:
Использование одной лишь функции myql_escape_string достаточно для защиты от sql_injection аттаки лишь в том случае, когда любые передаваемые пользователем параметры (где возможно) обособляются кавычками, и где невозможно, данные отдельно проверяются на опасность (как в описаной вами функции LIMIT).
P.S. Кроме всего прочего, (это не совсем про sql injection, но близко) в случае если в скрипте присутствует поиск типа LIKE и вы не желаете позволять пользователю самому определять шаблон поиска, необходимо удваивать специальные символы "%" и "_".
Например, если у вас доступен поиск по какому-то полю, учитывая заданный префикс ( WHERE some_field LIKE '{$preescaped_user_input}%' )
если пользователь введет специальный символ % в начало искомой фразы, то при определенный, но не невозможный условиях, запрос может затянуться на долго, чего бы вам, я полагаю, не хотелось.
Falc
Новичок
tolik777
Если есть возможность использовать mysqli то лучше использовать его и bind переменных.
Если нет такой возможности, то числовые переменые приводим к числам ( (int),(float) ), а строковым делаем mysql_escape_string()
neko
>>WHERE id = "{$_POST['id']}"
Если кавычки не прослешены то такое не пройдет.
Если есть возможность использовать mysqli то лучше использовать его и bind переменных.
Если нет такой возможности, то числовые переменые приводим к числам ( (int),(float) ), а строковым делаем mysql_escape_string()
neko
>>WHERE id = "{$_POST['id']}"
Если кавычки не прослешены то такое не пройдет.