Sql и php инъекции

Рады приветствовать Вас!

К Вашим услугам - качественный товар различных ценовых категорий.

Качественная поддержка 24 часа в сутки!

Мы ответим на любой ваш вопрос и подскажем в выборе товара и района!

Наши контакты:

Telegram:

https://t.me/happystuff

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много Фейков!

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

Switch to English sign up. Для предотвращения SQL инъекций следует соблюдать два простых правила: Не помещать в БД данные без обработки. Это можно сделать либо с помощью подготовленных выражений, либо обрабатывая параметры вручную. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем. А заранее прописывать в скрипте список возможных вариантов, и выбирать только из них. Используя изложенную в этой статье информацию, я написал Класс для безопасной и удобной работы с MySQL, который делает запросы безопасными и сокращает код в несколько раз. Если вы не любите сторонние библиотеки, то пользуйтесь хотя бы PDO. Как работать с PDO? Если мы подставляем в запрос какие-либо данные, то, чтобы отличить эти данные от команд SQL, их надо брать в кавычки. Поэтому подставляемые данные в данном случае имя Bill надо заключать в кавычки - тогда база сочтет его строкой, значение которой надо присвоить полю name: Поэтому и надо прослешивать все данные, чтобы объяснить базе, что встречающиеся в них кавычки и некоторые другие спецсимволы относятся к данным. В результате мы получим правильный запрос, который ошибок не вызовет: Они нужны только в запросе. При попадании в базу слеши отбрасываются. Соответственно, распространенной ошибкой является применение stripslashes при получении данных из базы. Всё вышесказанное относится к данным строкового типа и датам. Числа можно вставлять не прослешивая и не окружaя кавычками. Соответственно, мы будем любые данные, вставляемые в запрос, прослешивать и заключать в кавычки. Так же, есть ещё одно правило - необязательное, но его следует придерживаться во избежание появления ошибок: Следует различать эти кавычки и не путать одни с другими. Следует также помнить, что обратные кавычки слешами не экранируются. Но вся сила наших скриптов именно в динамическом составлении запросов! Вместо того, чтобы писать готовые запросы на все случаи жизни, мы составляем их на основании поступающих в скрипт данных. И вот здесь нас подстерегает опасность. Допустим, мы составляем запрос с использованием переменной: То есть, переменную перед подстановкой в запрос надо прослешить. Это можно сделать несколькими путями. Самый простой и неправильный - положиться на волшебные кавычки. Как вы уже догадались, именно для этого случая они и были придуманы. Ради того, чтобы уберечь SQL запросы забывчивых программистов от ошибок, ВСЕ поступающие в скрипт данные прослешиваются без разбору. Если вы используете чужой код, то лучше воспользоваться волшебными кавычками. Это может создавать некоторые неудобства и не гарантирует вас от ошибок или взлома поскольку прослешиванием правила составления запросов не исчерпываются но хотя бы снижает риск. Поэтому, при использовании чужого кода, обязательно убедитесь, что волшебные кавычки включены. Если же вы пишете весь код самостоятельно, то следует научиться правильному составлению запросов. Правильная работа со спецсимволами при составлении запросов Итак. Как мы уже узнали выше, чтобы правильно составить запрос, надо заключать данные в кавычки и прослешивать их. С первым всё понятно. При составлении динамических запросов мы никогда не забываем все данные заключить в кавычки: Однако, если заключим, то беды особой не будет, но зато можно будет сделать работу с данными единообразной. Второе же - прослешивание - и является тем, ради чего, собственно, по большей части, и написан весь этот текст. Поскольку вызывает больше всего вопросов и затруднений. Сначала отключим волшебные кавычки. Так, как это описано в самом начале. Почему это следует сделать? Самая очевидная - логическая. Но ведь данные совсем не обязательно после этого будут вставляться в запрос. Может быть, их придётся выводить пользователю, и слеши будут только мешать. Плюс к тому, добавленные слеши помешают, к примеру, правильно проверить длину введённой строки. К тому же, прослешивать нам надо не только пришедшие от пользователя данные, а вообще любые, вставляемые в запрос - многим этот очевидный факт даже не приходил в голову! Список можно продолжать, но вывод один: Есть и ещё одна причина: Теперь займёмся добавлением слешей самостоятельно. Во-вторых, и самое главное - она корректно работает с многобайтными кодировками, принимая во внимание текущую кодировку MySQL и не портит, таким образом, тексты в кодировке Unicode. Во-вторых, не забываем, что прослешить надо все те данные, которые мы заключили в запросе в кавычки: Для облегчения составления запросов можно пуститься на разные ухищнения - сделать функцию для составления запросов из массива очень удобно для запросов типа INSERT и UPDATE , прослешивать массив данных в цикле, и так далее. Вы можете написать и свою библиотеку или функцию для составления запросов. Главное - помнить, что только неукоснительное соблюдение правил составления запросов гарантирует вас от взлома БД, а так же сознавать, что применение 'волшебных кавычек', при видимой лёгкости составления запросов, не даёт такой гарантии, а только мешает нормальной работе приложения. Подготовленные выражения Есть еще один способ отправлять запросы в БД, называемый 'подготовленными выражениями' prepared statements. Суть его заключается в том, что подготавливается шаблон запроса, со специальными маркерами, на место которых будут подставлены динамические компоненты. Знак вопроса здесь - это тот самый маркер. По-другому он называетсй плейсхолдером placeholder. Весь секрет в том, что данные на его место подставляет специальная функция, которая 'привязывает' переменную к запросу. Вот как выглядит код в таком случае: В третьей строчке выполняем подготовленный таким образом запрос. При этом запрос и данные идут в базу не вместе, а по отдельности, исключая возможность какой-либо ошибки или злонамеренной манипуляции. Понятно, что возникает много вопросов. Но ни объём, ни тематика данной статьи не позволяют остановиться на них более подробно. Рекомендую обратиться к документации по библиотекам mysqli и PDO, реализующим данный принцип. Основное отличие этих двух состоит в том, что они реализуют механизм подготовленных выражений только внешне. А внутри работают по-старинке - составляя запрос и отправляя его в базу, беря на себя работу по обработке переменных. А PDO и mysqli работают, как было описано выше - то есть, шаблон запроса и данные уходят в базу по отдельности. SQL Injection Итак, мы научились правильно подставлять в запрос данные. Динамическое составление запросов не исчерпывается подстановкой данных. Часто нам приходится подставлять в запрос команды SQL и имена полей. И здесь мы уже переходим к теме безопасности: SQL Injection - это способ хакерской атаки, когда передаваемые скрипту данные модифицируются таким образом, что запрос, формируемый в этом скрипте, начинает выполнять совсем не то, для чего он предназначался. Правила защиты от таких атак можно разделить на два пункта: Работа с управляющими элементами запроса. Первый пункт мы подробно рассматривали выше. Он, можно сказать, и не является, собственно, защитой. А как побочный эффект мы имеем и защиту от взлома. Второй пункт гораздо сложнее, поскольку не существует такого же единого универсального правила, как для данных - обратная кавычка никак не защитит имя поля от модификации хакером. Поэтому основное правило при подстановке управляющих элементов в запрос такое: Если требуется динамически подставлять в запрос операторы SQL или имена полей, баз данных, таблиц, то ни под каким видом не вставлять их в запрос напрямую. К примеру, если надо передать имя поля в оператор order by, то ни в коем случае нельзя подставлять его напрямую. Надо сначала проверить его. К примеру, сделать массив допустимых значений, и подставлять в запрос только если переданный параметр в этом массиве присутствует: Если совпадения не будет найдено, то будет выбран первый элемент массива. Таким образом, в запрос подставляется не то, что ввёл пользователь, а то, что было прописано у нас в скрипте. Параметры оператора LIMIT следует принудительно приводить к целочисленному типу с помощью арифметических операций или функции intval. Не следует думать, что перечисленными здесь примерами исчерпываются все варианты динамического составления запросов. Нужно просто понять принцип, и применять его во всех подобных случаях. В имени этой функции есть дополнительная буква 'c'. Следовательно, перед тем, как подставлять некую переменную в like, её надо отдельно обработать: Как от них избавиться. Добавляется он к некоторым спецсимволам, но в основном его замечают из-за кавычек. Происходит это из-за специальных настроек PHP, обычно включённых на хостинге по умолчанию. Теоретически, эти настройки могут повысить безопасность скриптов, работающих с БД. Практически же, от автоматического добавления слешей часто получается путаница и неудобство, как при работе с БД, так и при её отсутствии. Ниже мы подробно разберём оба этих случая. За автоматическое добавление слешей отвечают директивы php. Если вторая, то слеши добавляются к данным, полученым во время исполнения скрипта - например, из файла или базы данных. Если вы работаете без базы данных, или же работаете с БД правильно о чём будет написано ниже , лишние слеши вам только мешают, и от них надо избавляться. Проще и правильнее всего отключить автоматическое добавление, в настройках PHP. Это можно сделать либо поправив соответствующие директивы в php. Впрочем, если вы хотите написать переносимое приложение, не зависящее от настроек PHP, то написать его всё равно придётся. И включать отдельным блоком в начале ваших скриптов. С данными, получаемыми во время работы, разобраться проще всего: Для этого кода нам потребуется две функции: Соответственно, с помощью первой надо проверить, и, если PHP добавил, то перебрать все входящие переменные и очистить с помощью второй. Замечания Среди причин, по которым не стоит полагаться на 'волшебные кавычки', есть ещё одна. Весьма маловероятная, но всё же. К 'волшебным кавычкам' относится на самом деле не две директивы, а три. То есть, полагаясь на 'волшебные кавычки', мы в этом случае получим все прелести неправильно составленных запросов. Вообще, чисто теоретически, надо учитывать наличие этой директивы, поскольку она преподносит ещё и такой сюрприз, как Все приведенные примеры касаются только БД Mysql. Конкретные правила составления запросов могут отличаться для других СУБД, но общий принцип остается прежним: Про волшебные кавычки на сайте PHP. Несколько материалов по SQL Injection: Чтобы текст в таком поле выводился целиком, value надо заключать в кавычки, а к выводимым данным применять функцию htmlspecialchars Пример: Почему это следует делать, можно почитать в гугле по запросу что такое XSS уязвимость.

Лирика в Грязовце