PHP, kaip apsaugoti input'ą nuo SQL injection

Gan ilgai googlinau kaip išspręsti šią problemą, stackoverflow radau atsakymą, kuris 889 balsus surinkęs ir greičiausiai geras, problema, kad nelabai suprantu kaip kodas veikia ir kaip paversti savo $_POST["input"] į saugų kintamąjį, kurį tiesiai į lentelę insertinčiau. Būtų šaunu jei kas paaiškintu :)

Kodas iš stackoverflow:

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');

$stmt->bind_param('s', $name);

 

$stmt->execute();

 

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) {

// do something with $row

}

Tiesiog inputui neleisk deti kabuciu, nei viengubu, nei dvigubu, bei daryk mysql_escape ar kaip funkcija vadinasi ivestam input zodziui :)

Tiesiog inputui neleisk deti kabuciu, nei viengubu, nei dvigubu, bei daryk mysql_escape ar kaip funkcija vadinasi ivestam input zodziui :)

http://php.net/manual/en/function.mysql-real-escape-string.php

Jei inputas int/float, galima pilnai padaryti injekciją be jokių apostrofų ar kabučių. :) Real escape irgi tokiu atveju nepadės, nes rūpinasi tik specialiais simboliais ir neturi jokio supratimo apie tai, kokiu tipu kintamąjį versi paskui.

Autoriui – tikiuosi OOP moki. Naudojama PDO biblioteka (geriausias būdas bendrauti su duomenų bazėmis PHP). Pirmiausiai užklausa išanalizuojama atskirai nuo argumentų, vietoj jų sudedant ?. Vėliau prie išanalizuotos užklausos pribindinamas (pririšamas argumentas). 's' reiškia, kad tavo argumentas yra string'as (nes int/float konvertuojami kitaip). Tada užklausą išsiunti. Štai ir viskas :)

http://www.phptherightway.com/

Ir kaip tūrėtų atrodyti inject'ionas?

Ir kaip tūrėtų atrodyti inject'ionas?

Paprasčiausias

or 1=1 --

. Prašom, jokių kabučių. Įmanomos ir DAUG įmantresnės užklausos: union ir t.t. Kur prisireikia stringo - naudoti hex literalus, vietoj 'abc' turėti 0x616263. Vsio :)

Jei inputas int/float, galima pilnai padaryti injekciją be jokių apostrofų ar kabučių. :) Real escape irgi tokiu atveju nepadės, nes rūpinasi tik specialiais simboliais ir neturi jokio supratimo apie tai, kokiu tipu kintamąjį versi paskui.

 

Autoriui – tikiuosi OOP moki. Naudojama PDO biblioteka (geriausias būdas bendrauti su duomenų bazėmis PHP). Pirmiausiai užklausa išanalizuojama atskirai nuo argumentų, vietoj jų sudedant ?. Vėliau prie išanalizuotos užklausos pribindinamas (pririšamas argumentas). 's' reiškia, kad tavo argumentas yra string'as (nes int/float konvertuojami kitaip). Tada užklausą išsiunti. Štai ir viskas :)

 

http://www.phptherightway.com/

Dėkui Silke, jau antrąsyk šiandien gelbėji. PHP iš viso dar nelabai moku, na bet moku js ir iš ten esu pažįstamas su OOP, taip pat python šiek tiek moku, tad su programavimu esu pažįstamas neturėtų būti labai sunku prie php prisitaikyti nors šiek tiek kliūnu.

Jei inputas int/float, galima pilnai padaryti injekciją be jokių apostrofų ar kabučių. :) Real escape irgi tokiu atveju nepadės, nes rūpinasi tik specialiais simboliais ir neturi jokio supratimo apie tai, kokiu tipu kintamąjį versi paskui.

 

Autoriui – tikiuosi OOP moki. Naudojama PDO biblioteka (geriausias būdas bendrauti su duomenų bazėmis PHP). Pirmiausiai užklausa išanalizuojama atskirai nuo argumentų, vietoj jų sudedant ?. Vėliau prie išanalizuotos užklausos pribindinamas (pririšamas argumentas). 's' reiškia, kad tavo argumentas yra string'as (nes int/float konvertuojami kitaip). Tada užklausą išsiunti. Štai ir viskas :)

 

http://www.phptherightway.com/

Mano žiniomis užklausa ne analizuojama, o tiesiog siunčiama į mysql serverį atskirai nuo duomenų. T.y. pirma nusiunčiama užklausa, o vėliau duomenys. Todėl duomenys (šiuo atveju "user input") niekad nėra vykdomi.

Gan ilgai googlinau kaip išspręsti šią problemą, stackoverflow radau atsakymą, kuris 889 balsus surinkęs ir greičiausiai geras, problema, kad nelabai suprantu kaip kodas veikia ir kaip paversti savo $_POST["input"] į saugų kintamąjį, kurį tiesiai į lentelę insertinčiau. Būtų šaunu jei kas paaiškintu :)

 

Kodas iš stackoverflow:

PDO pavyzdys.

$dsn = 'mysql:dbname=database_name;host=localhost';
$user = 'db_user';
$password = 'db_password';

try
{
$dbh = new PDO($dsn, $user, $password, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
}
catch (PDOException $e)
{   
       echo 'Connection failed: '.$e->getMessage(); 
}


$stmt = $dbh ->prepare('INSERT INTO `lentele` SET `stulpelis` = :duomenys'); //naudojant PDO galima naudoti ":placeholder" vietoj "?". Patogiau.

$stmt->execute(array(':duomenys' => $_POST['input']); //naudojant PDO nebūtina naudoti bind_value(), užtenka vykdant užklausą paduoti masyvą su ":placeholder" => "data" elementais.

Mano žiniomis užklausa ne analizuojama, o tiesiog siunčiama į mysql serverį atskirai nuo duomenų. T.y. pirma nusiunčiama užklausa, o vėliau duomenys. Todėl duomenys (šiuo atveju "user input") niekad nėra vykdomi.

 

 

 

PDO pavyzdys.

 

$dsn = 'mysql:dbname=database_name;host=localhost';
$user = 'db_user';
$password = 'db_password';

try
{
$dbh = new PDO($dsn, $user, $password, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
}
catch (PDOException $e)
{   
       echo 'Connection failed: '.$e->getMessage(); 
}


$stmt = $dbh ->prepare('INSERT INTO `lentele` SET `stulpelis` = :duomenys'); //naudojant PDO galima naudoti ":placeholder" vietoj "?". Patogiau.

$stmt->execute(array(':duomenys' => $_POST['input']); //naudojant PDO nebūtina naudoti bind_value(), užtenka vykdant užklausą paduoti masyvą su ":placeholder" => "data" elementais.

Galima sakyti ir taip. Defaultu PHP'e kažkodėl nenaudojami tikri MySQL prepared statements, o emuliuojama su PHP, bet galima įjungti.