Инъекция SQL
Инъекция SQLМы профессиональная команда, которая на рынке работает уже более 5 лет и специализируемся исключительно на лучших продуктах.
===============
Наши контакты:
Telegram:
>>>Купить через телеграмм (ЖМИ СЮДА)<<<
===============
____________________
ВНИМАНИЕ!!! Важно!!!
В Телеграм переходить только по ССЫЛКЕ, в поиске НАС НЕТ там только фейки!
Чтобы телеграм открылся он у вас должен быть установлен!
____________________
Инъекция SQL
Вы делаете раз за разом категоричные заявления, но не приедите аргументов. Я понимаю про устаревшесть, пдо и все такое, но объясните мне, почему недостаточно эскейпить все входные данные от пользователя и каким образом при правильно настроенных кодировках эта функция может стать причиной дыры в безопасности. Для защиты от инъекций надо применять те инструменты, которые для этого предназначены, а не случайно взятую с потолка функцию, которая может случайно 1 раз сработать. Самая большая проблема здесь в том, что средний пользователь похапе воображает, будто SQL инъекция — это когда некий злодей Волдеморт водит волшебной палочкой и говорит заклинания. И чтобы от нее защититься, надо тоже поводить своей палочкой туда-сюда. А эскейпинг как раз и является такой палочкой. А если хоть раз в жизни дать себе труд задуматься, что такое инъекция и что делает эскейпинг, то сразу станет понятно что его тупо в одних случаях недостаточно, а в других он неприменим вовсе. А 'эскейпить все входные данные от пользователя' это уже совсем дно. Когда-то в ПХП была такая функция, 'волшебные кавычки' называлась. Но уже 10 лет назад её с ужасом и стыдом из языка выпилили. Опять же, надо дать себе труд задуматься — что с ней было не так. Помимо того, что эскейпинг сам по себе не имеет отношения к инъекциям, тут у нас еще одна черная дыра глупости — 'входные данные от пользователя'. Если спросить среднего похапешника, какие данные входят от пользователя, аакие нет, волосы встанут дыбом. Во всех местах. Так что если доверить этому похапешнику решать, какие данные надо защищать и когда, то проще пароль от базы данных сразу написать на главной странице сайта. По этой ссылке написано, что Данное расширение устарело, начиная с версии PHP 5. В актуальной документации этой ереси нет. Что 'есть'? По этой ссылке можно увидеть корректные формулировки, бреда про 'обезопасить данные' там нет. Там написано 'можно использовать в SQL выражениях'. Может все-таки как-то проаргументируете свои мысли? Ну вот, к примеру, такой неприятный пример, как можно сделать в нем sql-инъекцию? Не уходим от темы. Вопрос ко мне был, 'можно ли использовать эту функцию для защиты от инъекций'. По ссылке выше не написано, что можно. Вообще ни одного слова про инъекцию. Еще вопросы будут? Дружище, это уже совсем за гранью добра и зла и формальной логики. В описании функций strlen, htmlspecialchars, empty, intval, urlencode, sort, header тоже не написано , что их нельзя применять для защиты от инъекций. Cогласно вашей логике получается что можно? Потому что эта функция для этого никаким боком не предназначена. По своему прямому назначению ее применять можно. Для защиты от инъекций — нельзя. Давайте я вам еще раз попробую объяснить. Не бывает никаких абстрактных 'данных', которые можно волшебным образом 'обезопасить'. Этот бред действительно был когда-то написан в документации, но люди делятся на тех, кто умеет извлекать уроки из ошибок прошлого, и тех кто предпочитает не считать их ошибками. Волшебной функции для защиты от инъекций вообще в природе не существует. Не существует волшебной палочки, которая защитит любые абстрактные данные от любой абстрактной инъекции. Как только вы избавитесь от этой иллюзии дело сразу пойдет легче. Я не предлагаю принять на веру. Я предлагаю принять на логику. Я вам привел железобетонный логический аргумент: нигде не написано, кроме устарвешей страницы документации по несуществующей версии пхп, что эта функция должна использоваться для защиты от инъекций. Этого уже должно быть достаточно. Если в каком-то отдельно взятом случае эта функция случайно помогла, это не значит, что ее предназначение именно в защите от инъекций. Но недостаточный. По той причине, что она, в качестве побочного эффекта, защищает от инъекций только строковые литералы. Для всех остальных элементов запроса она бесполезна, и ее использование приведет к инъекции. Именно по этой причине её категорически нельзя использовать для защиты. Для любых. Если можешь назвать хоть один, то он подойдет. Напиши на бумажке SQL запрос, и выбери любую его часть, которая не строковый литерал. Если назовешь хоть одну причину, по которой я должен это сделать, то так и быть, я разжую тебе даже это. И именно поэтому ты поднял топик многолетней давности, ага : Логика это явно твоя сильная сторона. На самом деле я тебе ответил. С превеликим трудом мы уже смогли осилить тот факт, что эскейпинг помогает только строкам в качестве побочного эффекта , и бесполезен для любых других элементов запроса. Но беда в том, что все эти термины для тебя — пустой звук, абстракция. Чтобы понять ответ на вопрос, надо заранее знать половину ответа. Для тебя же 'строки', 'инъекция' и 'эскейпинг' — это абстрактные понятия, не имеющие физического смысла. Когда-то в далеком детстве ты прочитал сказку, что 'инъекция' — это злой Кащей Бессмертный, а 'эскейпинг' — это молодцеватый Илья-муромец, который разит супостата прямо в темечко. На таком уровне я действительно не готов объяснять, извини. Попробуй самостоятельно найти хотя бы один пример инъекции и разобраться как она работает. Понять чем отличается строковый литерал от идентификатора в SQL. Чем конкретно занимается пресловутый искейпинг, и зачем. После того как разговор перейдет для тебя из мифологической в практическую плоскость, можно будет продолжить. Если же тебе лень это делать то придется принимать на веру, точно также как ты когда-то принял на веру бред про 'обезопасить данные'. Я что-то подобное и подозревал. Данное предубеждение мешает тебе воспринимать информацию. То есть ты сам же себе мешаешь. Вот такого рода комментарий, демонстрирующий хоть какое-то шевеление на том конце, является куда более конструктивным способом ведения дискуссии, чем однообразное повторение 'дядь, покажи фокус'. Я если я тебе покажу инъекцию, она все равно останется на уровне фокуса. А мне интересно чтобы ты понял и сам мог объяснить. Все верно, PDO::prepare с идентификаторами не работает. Теперь ясно? Твой прогресс просто потрясает воображение. Ты бы, конечно, мог прийти к этому выводу и раньше, если бы прочитал статью, которую комментируешь — в ней этот пример как раз присутствует. Кстати, если осилишь еще и комментарии к ней, то получишь ответ и на свой предыдущий вопрос. Ради бога, ты можешь воображать все что тебе угодно : Твоя убежденность в собственной правоте умиляет не меньше, чем твоя убежденность в том, что кому-то интересно твое мнение :. Мне тебя немного жаль, конечно, но почему я должен при этом хлопать дверью, не очень понятно. Впрочем, тема дверей мне уже не настолько интересна. Будут еще вопросы по базам данных — обращайся, я всегда помогу! Log in , please. How to become an author. NET Knowledge Base. Log in Sign up. SQL injection для начинающих. Часть 1 Information Security Приветствую тебя, читатель. Последнее время, я увлекаюсь Web-безопасностью, да и в какой-то степени работа связана с этим. Статья будет рассчитана на тех, кто не сталкивался с подобным, но хотел бы научиться. В сети относительно много статей на данную тематику, но для начинающих они немного сложные. Я постараюсь описать всё понятным языком и подробными примерами. Предисловие Для того, чтобы понять данную статью, вам не особо понадобится знания SQL-языка, а хотя бы наличие хорошего терпения и немного мозгов — для запоминания. Я считаю, что одного прочтения статьи будет мало, так как нам нужны живые примеры — как известно практика, в процессе запоминания, не бывает лишней. Поэтому мы будем писать уязвимые скрипты и тренироваться на них. Что же такое SQL инъекция? Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Пример из жизни: Отец, написал в записке маме, чтобы она дала Васе рублей и положил её на стол. Подготовка Для практики, Вам понадобится архив с исходными скриптами данной статьи. Скачайте его и распакуйте на сервере. Также импортируйте базу данных и установите данные в файле cfg. Самая распространенная ошибка — это не фильтрация передаваемого ID. Ну грубо говоря подставлять во все поля кавычки. Числовой входящий параметр Для практики нам понадобится скрипт index1. Как я уже говорил выше, подставляем кавычки в ID новости. SQL инъекции здесь нет — Фильтруются кавычки, или просто стоит преобразование в int 2. Отключен вывод ошибок. Если все же ошибку вывело — Ура! Мы нашли первый вид SQL инъекции — Числовой входящий параметр. Строковой входящий параметр Запросы будем посылать на index2. Значит уязвимость есть. Для начала нам хватит — приступим к практике. Приступаем к действиям Немного теории Наверно Вам уже не терпится извлечь что-то из этого, кроме ошибок. Для начала усвойте, что знак ' -- ' считается комментарием в языке SQL. Перед и после него обязательно должны стоять пробелы. Можете попробовать это на скрипте index2. То есть для того, чтобы вытащить что-то нам нужное из другой таблицы. Вернемся к скрипту index1. Значит количество столбцов равно 5. Вывод данных Допустим мы знаем, что еще существует таблица users в которой существуют поля id , name и pass. Запись файлов На самом деле всё очень просто. Способы защиты Защититься еще проще, чем использовать уязвимость. Просто фильтруйте данные. Защищаться использованием PDO или prepared statements. Во второй мы рассмотрим более тяжелые примеры инъекций. Пробуйте сами писать уязвимые скрипты и выполнять запросы. И запомните, не доверяйте ни одному пользователю Вашего сайта. Specify the reason of the downvote so the author could improve the post. Popular right now. Audio over Bluetooth: most detailed information about profiles, codecs, and devices Blog mentioned only Orphographic mistakes Punctuation mistakes Indents Text without paragraphs Too short sentences Usage of emojis Too much formatting Pictures Links Оформление кода Рекламный характер. Payment system. Similar posts. Проверка почерка — это не фильтрация данных. Фильтрация данных относится к подстановкам в запрос placeholders , а не к целому запросу. Не будете же вы брать запрос целиком из ввода пользователя. К тому же статья содержит большое количество грамматических ошибок. В общем, мне не понравилось. При чем тут локалхост и боевые скрипты? PDO на это есть и prepared statements, привыкайте, что ли к цивилизованным методам. Вы меня тоже извиняйте, но я просто дал совет опять же новичкам. В своих проектах я всегда использую Active records, и практически не задумываюсь. Так это прекрасно, что используете, но новичков-то зачем плохому учить? Может, подредактируете статью? Никогда не задумывался, что можно лучше. А я так понимаю можно? Но чем оно лучше? BlessMaster July 23, at AM —1. В итоге меньше кода не надо никаких монстров экранирования и конкатенаций , всё чище и логичней, работа идёт быстрей и не будет очень неприятных сюрпризов в будущем где там у какого поля тип поменялся — перепиши все запросы, где спешили и забыли заэкранировать — слили базу паролей. Быстрей нам надо, очень надо. Попробуем то есть. Хотя последовательных запросов не бывает вообще. BlessMaster July 24, at AM 0. Первая чисто теоретическая — РНР-тим забил на эту либу и не хочет ее поддерживать. Вторая заключается в том, что в коде не должно быть вызовов голого API. А должны быть — как совершенно правильно сделано у вас — вызовы функции- надстройки. Чем сложнее инструменты используются для объяснения, тем больше объяснять нужно. Хотя, с другой стороны, тема требует наличия специальных навыков. Тут даже выигрыша в объеме кода нет по сравнению с PDO, не понимаю, какой может быть смысл их использовать, кроме того, что кому-то лень выучить что-то другое. VolCh July 21, at PM 0. Выигрыш по потребляемым ресурсам скорости, памяти , т. BlessMaster July 23, at AM 0. Если разобраться, то я, например, так или иначе всё равно пользуюсь объектными обёртками. Rhaps July 21, at PM 0. В нём есть какие-то известные уязвимости? Rhaps July 25, at PM 0. Так что абсолютное большинство пользуется этой функцией совершенно без малейшей пользы : И мы бы давно сидели по уши в инъекциях, если бы эта уязвимость не работала только для ооочень экзотических кодировок. Rhaps July 26, at AM 0. Escaping Shortfall Cont. SQL Injection is once again possible!!! Как я понял проблема заключается в том, что ф-ции экранирования не совсем корректно работают с мультибайтовыми строками. Вы бы хоть попробовали сначала, прежде чем писать. Умозаключения — это всегда хорошо. Вы нашли эту статью? Это совсем не так сложно. Зато сразу снимет кучу вопросов и неверных догадок :. UFO just landed and posted this here. Потому что подобный стиль может привести к тому, что рано или поздно забудешь заискэйпить. Я поэтому стараюсь использовать шаблонизаторы — как-то раз забыл написать htmlspecialchars и было очень больно. Эабыл — не аргумент! А вы уверены что не забудите биндить в PDO? Так можно про все сказать. Если не забиндить — работать не будет. А если не заэскейпить — внешне не заметно, что что-то не так. До одного прекрасного момента в идеале — до аудита кода, но в жизни обычно бывает очень не идеально. На самом деле и забывать-то не обязательно. Достаточно забыть или не иметь возможности выполнить вторую часть заклинания — поставить по краям переменной кавычки — без которой карета, увы, тут же превращается в тыкву… Главная проблема этой строчки — непонимание её смысла. А слухи — плохой аргумент. Если что, эта функция вызывает встроенные в драйвер mysql защиты от инъекций, а не пхп-шные методы, поэтому никакого ужаса нет, а очень даже большая польза. Могу, но речь не о них. Будем считать, что нет. Речь не о каком-то частном примере, а о понимании. Часть защиты от инъекции — экранирование данных. О, молодец. И какие бывают случаи, когда она применяться не должна. В более-менее сложных запросах. Если это происходит, то инъекция будет гарантирована, рано или поздно. TheShock March 21, at AM 0. Потому что эскейпинг не предназначен для защиты от инъекций. TheShock March 26, at PM 0. Простите, я давно не занимался серьезным серверным программированием, а когда и занимался — пользовал плейсхолеры. Можно, пожалуйста, поменьше эмоций и чуть больше фактов? То есть вы противоречите официальной документации PHP. Но и не написано, что нельзя. Просто написано, что данные можно вставлять в запрос, нигде не написано ни о какой опасности. Это как раз вы уходите от темы. Я вам задал вполне конкретный вопрос — почему недостаточно заэскейпить? Вы меня высмеяли. Давайте я задам вам вопрос иначе. Если нету — так и скажите. Просто написано, что данные можно вставлять в запрос, Там нету слова 'данные'. Нельзя потому что нельзя. Давайте я еще раз переформулирую. Он у меня просто не очень прогрессивный и ему сложно даются новые технологии. Так расскажите мне риски, пожалуйста, я хочу их оценить. Я ничего такого не писал. Не надо перевирать мои слова. Это ведь просто строки, там нет никакой магии и никакой магии не нужно, чтобы сдержать инъекции. Вы просто ожидаете, что я приму это на веру, но почему? Если это — ошибка, если приводит к каким-то проблемам, то будьте любезны — объясните, к каким проблемам может привести эта ошибка. В чем, сообственно, ошибка заключается? И как правильно? Это ведь просто строки Не только строки. VolCh March 27, at PM 0. TheShock March 27, at PM 0. TheShock May 4, at PM 0. Для всех остальных элементов запроса Например, каких? Зададим тебе это в качестве домашнего задания :. Ты забавный мальчик : Если назовешь хоть одну причину, по которой я должен это сделать, то так и быть, я разжую тебе даже это. Я откуда знаю, почему ты снова поднял топик полуторамесячной давности. Это твоя главная проблема. Поднял топик я: 1. По ошибке увы, не заметил, что он стар 2. Потому что не знал и так и не узнал ответ на вопрос Мои причины вполне логичны и я их могу назвать. А зачем вы подняли устаревший топик, если до сих пор не можете дать ответ на простой вопрос? На самом деле я тебе ответил Я повторю, возможно переформулировав, вопрос. Максимально кратко, если не доходит: Приведи пример инъекции. Все остальное твое самолюбование не имеет никакого смысла. Увы, ты не читаешь то, что я так талантливо и образно формулирую. Это пустая трата времени :. А, так это ты для меня писал? Я думал, что это был просто самовосхваляющий монолог. Предубеждение про самолюбование? Информацию о твоем самомнении я воспринял прекрасно. Нет, не ясно. Если человеку необходимо будет так вставить название поля — ему все-равно придется как-то это сделать я, правда, не представляю, кто может в качестве названия поля напрямую вставлять ввод пользователя, но это уже детали. Кстати, на счет фокусов. Я тут прочитал еще раз топик и увидел, что вы начинаете путаться в своих показаниях. Вот тут вы говорите, что она защищает строковые литералы: По той причине, что она, в качестве побочного эффекта, защищает от инъекций только строковые литералы. FanatPHP Могу, но речь не о них. TheShock May 5, at AM 0. Хотя я, кажется, начинаю понимать, что вы имели ввиду. Что иногда можно вставить в запрос даже заэскейпленные данные и они не защищат от инъекции. Я так и думал, что ты сольешься, когда я предоставлю шанс. Оказывается, что эта функция таки защищает от инъекций, если не делать очевидных глупостей. TheShock May 6, at PM 0. Статья понравилась. Пусть есть ошибки, пусть примеры не очень корректны. Вот мне, человеку озабоченному вопросами безопасности своих сайтов, эта статья очень полезна. Я, конечно, наслышан что такое SQL-иньекции, как с ними можно бороться, но конкретных примеров инъекций не разбирал. А тут все показали на пальцах. Соответственно, мне как НЕ специалисту в вопросах безопастности для общего развития стало это очень полезно. Ну и для практического применения тоже. Надеюсь, что цикл статей продолжится и я научусь еще более эффективно защищать свои программы. И еще хотелось бы чтобы автор в следующих публикациях уделил время разбору методов борьбы с такими вот штуками. Он конечно говорит что нужно использовать фильтрацию и т. Но мне бы хотелось услышать эти вещи именно от этого автора. Чтобы подробнее были разобраны методы фильтрации. Не нужно никакой фильтрации. Нужно всегда соблюдать всего два правила: — данные пподставляем в запрос только через плейсхолдеры. Больше ничего не нужно, никакой фильтрации. Можно лишь добавить, что плейсхолдеры могут использоваться либо родные — от БД, либо самодельные. В последнем случае наш парсер должен знать тип подставляемых данных, и корректно их отформатировать. Статья вообще неочем. Это обжовывалось раз. Если Вы это знаете — то хорошо. Mirrage, а вы новичок в этом деле? Полагаю что нет. Прочтите внимательнее, в заголовке написано '… для начинающих'. Поэтому, мне кажется, чтобы объективно рассуждать о чем статья или не о чем, надо быть для начала новичком! Я вот новичок, и мне статья очень понравилась! Вы хотите сказать, что разрабатывали что-то не зная про SQL инъекции? Расскажу по секрету: существует большое количество разработчиков, которые не имеют понятия об sql инъекциях, о принципах проектирования, юзабилити, тестировании, проверки на неправильные параметры и как вообще правильно писать код. И знаю как с ними бороться. Но конкретных примеров не разбирал. А тут мне на пальцах показали как это выглядит изнутри. Разве что совсем простые примеры. Тут мне показали как это можно использовать. И так понял что в дальнейшем автор планирует показать более сложные примеры. А автор мне показал. Теперь буду знать врага в лицо. Уважаемый AlexanderPHP , а вам не стыдно? Мне одному кажется что это сжатый и немного измененый пересказ уже существующей статьи датированной годом? Причем очень много чего в этих статьях схожего. Ни Ваша статья, ни приведенная статья по ссылке не научит правильно обнаруживать и раскручивать SQL иньекции. Хотя, признаюсь, много чего почерпнул когда то из последней статьи. К примеру пытаться обнаруживать иньекции только по наличию ошибок — бред. InSys, спасибо, будет что еще почитать. Всё писалось из головы. Почитайте лучше www. Из головы ли? Пробежался глазами. Даже примеры вообщем то совпадают. Не верю с Станиславский. Синтаксис — один. Это тоже самое, что Hello world, в разных учебниках. Вам совсем необязательно что-то кому-то доказывать. Просто у людей сложилось мнение о Вас лично. Придраться можно к чему либо. Правильно Вы сказали — что нет смысла оправдываться. Самому себе, мне нет смысла врать. В Яндексе все такие клевые? Причем тут это? Seekeer December 19, at PM 0. С точки зрения формальной логики — да, правильный. С точки зрения бытовой — не очень. Оригинал: Так как мы не можем повлиять на их количество в первом запросе, то нам нужно подобрать их количество во втором к первому. Ваша: Т. Пример со сто рублями передран и немного переделан. Используется таже таблица news… Продолжать? И тут приходите вы, и пытаетесь выдать чужое за свое…. Более ничего Вам доказывать не буду. Не вижу смысла мне врать. Ну конечно, уже что-то доказывать смысла нет. Странный вы человек. Возьмите, да добавьте в статью ссылки на используемые материалы. Не стройте из себя гения который сам всему научился и все знает, вот и вся проблема. Ага, у него ЧСВ over Мне кажется вам стоило больше уделить защите от SQL инъекций. То что вы описали не всегда применимо. Да и фильтрация очень редко закрывает уязвимость. Но вот что делать, если там могут быть и строки? Правильно, в ход идет escape. Поэтому фильтрация должна быть правильная, то есть уместная на каждом участке кода. Да и по поводу определение колонок методом group by написано не точно. Соискатель как-то присылал ссылку на свою работу в качестве портфолио. С совершенно чудной SQL-injection в форме логина. А вообще это даже грустно. Зачем инъекции? Я тоже подобное использовал. А там тоже в sql. MainNika July 21, at PM 0. Пробел должен стоять только после — Отлично, файл у нас записался. Keyten July 20, at PM —1. Странно, что никто ещё не вставил картинку про Робина-брось-таблицу :. MainNika July 20, at PM 0. Очень интересно, а зачем SQL-базе команды чтения и записи файлов? Это как раз уязвимое звено. А скрипт, по необходимости, может сам с файлами пообщаться. Уязвимое место — люди, пишущие сей код. А какова функциональность уже другой вопрос. В mssql вообще можно из под sa выполнять команды на машине, и что? InSys July 21, at AM 0. Уязвимое место — люди, пишущие сей код Грамотно и емко сказанно. Отчаянно плюсую! Keyten July 21, at PM 0. Ну знаете что, давайте выбросим SELinux, AppArmor, песочницу хрома, из-за которой он считается самым безопасным браузером несмотря на уязвимости. Если у пользовательского скрипта задача только читать, и только из двух таблиц, то ему достаточно соединятся с базой под максимально ограниченными привилениями. Да и про фильтрацию как-то невнятно… фильтровать желательно не только входящие, но и исходящие данные, причем не только по типу, но и по размеру с диапазоном. Отдавать шаблонизатору результат неизвестно какого формата тоже опрометчиво. На то он и шаблонизатор, чтобы всё что нужно заэкранировать. Шаблонизатор обязан получать сырые данные, если мы хотим сделать разделение логики представления данных и логики получения данных. Автор, докажи, что не украл статью с ачата или рдота — напиши продолжение. Sild July 21, at AM 0. Я донесу до людей эту долбанную ссылку. Извините за флуд и формат. И с использованием pdo можно наделать подобных дыр, если нет понимания как работают sql-инъекции. Taleisin April 10, at PM 0. Вот: habrahabr. Top discussions. Deploying Tarantool Cartridge applications with zero effort Part 2 99 0. Top posts. Your account Log in Sign up. Language settings. Mobile version. Interface Русский. Save settings.
Купить | закладки | телеграм | скорость | соль | кристаллы | a29 | a-pvp | MDPV| 3md | мука мефедрон | миф | мяу-мяу | 4mmc | амфетамин | фен | экстази | XTC | MDMA | pills | героин | хмурый | метадон | мёд | гашиш | шишки | бошки | гидропоника | опий | ханка | спайс | микс | россыпь | бошки, haze, гарик, гаш | реагент | MDA | лирика | кокаин (VHQ, HQ, MQ, первый, орех), | марки | легал | героин и метадон (хмурый, гера, гречка, мёд, мясо) | амфетамин (фен, амф, порох, кеды) | 24/7 | автопродажи | бот | сайт | форум | онлайн | проверенные | наркотики | грибы | план | КОКАИН | HQ | MQ |купить | мефедрон (меф, мяу-мяу) | фен, амфетамин | ск, скорость кристаллы | гашиш, шишки, бошки | лсд | мдма, экстази | vhq, mq | москва кокаин | героин | метадон | alpha-pvp | рибы (психоделики), экстази (MDMA, ext, круглые, диски, таблы) | хмурый | мёд | эйфория
Инъекция SQL
SQL Injection от и до
Эта статья является статьёй- квестом. Мы желаем вам успехов в его прохождении. Итоги вашего прохождения будут опубликованы позже следите за новостями в соц. Все программисты читали или по крайней мере слышали о методах взлома безопасности веб-сайта. Или даже столкнулись с этой проблемой. В первой статье я хотел бы описать и разъяснить некоторые общие методы взлома одного из самых уязвимых частей сайта — форм. SQl-инъекция — это такая техника, когда злоумышленник вводит команды SQL в input поле на веб-странице. Этот метод был весьма эффективным до появления фреймворков в мире PHP. Из-за способа передачи параметров в SQL запрос. Я подставил вопросительные знаки в выражение из-за различных вариаций этого решения. Первый вариант, на мой взгляд, самый уязвимый:. В этом случае в коде нет проверки на ввод неправильных данных. Значения передаются прямо из формы ввода в SQL запрос. В самом лучшем случае пользователь введет здесь свои логин и пароль. Что случится в худшем случае? Давайте попробуем хакнуть эту форму. Это можно сделать, передав 'подготовленные' данные. Попытаемся войти как первый пользователь из базы данных, а в большинстве случаев — это админский аккаунт. Для этого, передадим специальную строку вместо ввода логина:. Первая кавычка может быть и одинарной, поэтому одной попыткой взлома можно не обойтись. В конце стоят точка с запятой и два дефиса, чтобы всё, что идёт после превратилось в комментарий. В результате будет выполнен следующий SQL запрос:. Он вернет первого пользователя из базы данных и, возможно, залогинится под ним в приложении. Это единственное, что нужно, чтобы пройти по каждому значению. В предыдущем примере всё не так уж страшно. Возможности в админской панели управления всегда имеют ограничения и потребуется реально много работы, чтобы поломать сайт. А вот атака через SQL инъекции может привести к куда большим повреждениям системы. Наиболее распространенный параметр, передаваемый через GET — id. Вероятно, такой запрос вернет нам логин пользователя и А вторая часть запроса вернет данные в виде prepared data. А так как первым параметром идет id, следующим будет логин пользователя и хеш его пароля и еще сколько-то параметров. Существует множество программ, с помощью брутфорса декодирующих такой пароль, как в примере. А так как пользователь может использовать один и тот же пароль для разных сервисов, можно получить доступ и к ним. В принципе, нет способа избежать такой атаки, поэтому, если параметры будут передаваться так:. Когда я был новичком в программировании, мне было тяжело работать с кодировками. Я не понимал, в чем между ними различие, зачем использовать UTF-8, когда нужно UTF, почему база данных постоянно устанавливает кодировку в latin1. Разбираясь со всем этим, я заметил также и проблемы безопасности, возникающие при преобразовании из одной кодировки в другую. Проблем, описанных в большинстве предыдущих примеров, можно избежать, используя одинарные кавычки в запросах. Если вы используете addslashes , атаки через SQL-инъекции, построенные на использовании одинарных кавычек, экранируемых обратным слэшем, потерпят неудачу. Но такая атака может пройти, если просто подставить символ с кодом 0xbf27 , addslashes преобразует его в символ с кодом 0xbf5c27 — а это вполне валидный символ одинарной кавычки. Движок SQL сгенерит конечный запрос так:. Как же защитить приложение? Есть куча способов, применение которых не сделает приложение совсем неуязвимым, но хотя бы повысит его защищенность. Функция addslashes ненадежна, так как не предусматривает многие случаи взлома. Цель этой серии не предоставить полное руководство по взлому сайтов, а обеспечить безопасность приложения и предотвращение атак из любого источника. Я постарался написать эту статью не только для программистов — они должны быть в курсе любых угроз в коде и знать пути, как предотвратить их, но также и для инженеров по качеству — потому, что их работа заключается в том, чтобы отследить и сообщить такие моменты. Войти Квест. Sql инъекции. Ставьте лайки, делитесь с друзьями и коллегами, репостите в соц. Более серьезные способы В предыдущем примере всё не так уж страшно. Это одна из причин почаще делать бэкапы баз данных. Что произойдет, если мы подставим в урл следующий код? Экранирование символов в строке Когда я был новичком в программировании, мне было тяжело работать с кодировками. Защита Как же защитить приложение? ORM позаботится о безопасности в самых узких местах в коде и о валидации параметров. Выводы Цель этой серии не предоставить полное руководство по взлому сайтов, а обеспечить безопасность приложения и предотвращение атак из любого источника.