Comment puis-je prévenir l'injection SQL en PHP?

Si la saisie de l'utilisateur est inséré, sans modification, dans une requête SQL, puis l'application devient vulnérable à L'injection SQL, comme dans l'exemple suivant:

$unsafe_variable = $_POST['user_input']; 

mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variable')");

C'est parce que l'utilisateur peut saisir quelque chose comme value'); DROP TABLE table;--, et la requête devient:

INSERT INTO `table` (`column`) VALUES('value'); DROP TABLE table;--')

Ce qui peut être fait pour empêcher que cela se produise?

InformationsquelleAutor |
  1. 8525

    Utiliser les requêtes préparées et des requêtes paramétrées. Ce sont des instructions SQL qui sont envoyés et analysés par le serveur de base de données séparément de tous les paramètres. De cette façon, il est impossible pour un attaquant d'injecter du SQL malveillant.

    En gros, vous avez deux options pour y parvenir:

    1. À l'aide de AOP (pour n'importe quel pilote de base de données):

      $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');

$stmt->execute(array('name' => $name));

foreach ($stmt as $row) {
    //do something with $row
}

    2. À l'aide de MySQLi (pour MySQL):

      $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); //'s' specifies the variable type => 'string'

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    //do something with $row
}

    Si vous vous connectez à une base de données autre que MySQL, il y a un pilote spécifique à la deuxième option que vous pouvez consulter (par exemple pg_prepare() et pg_execute() pour PostgreSQL). PDO est l'option universelle.

    Correctement la configuration de la connexion

    Noter que lors de l'utilisation de PDO pour accéder à une base de données MySQL réel préparées sont pas utilisé par défaut. Pour résoudre ce problème, vous devez désactiver l'émulation des déclarations préparées à l'avance. Un exemple de création d'une connexion à l'aide de PDO est:

    $dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    Dans l'exemple ci-dessus le mode d'erreur n'est pas strictement nécessaire, mais il est conseillé de l'ajouter. De cette façon, le script ne va pas s'arrêter avec un Fatal Error quand quelque chose va mal. Et il donne au développeur la possibilité de catch toute erreur(s) qui sont thrown PDOExceptions.

    Qu'est-ce que obligatoire, cependant, est le premier setAttribute() ligne, qui raconte PDO pour désactiver émulé déclarations préparées à l'avance et d'utiliser réel déclarations préparées à l'avance. Cela permet de s'assurer de la déclaration et les valeurs ne sont pas analysés par PHP avant de les envoyer au serveur MySQL (en donnant un éventuel attaquant aucune chance à injecter du SQL malveillant).

    Bien que vous pouvez définir le charset dans les options du constructeur, il est important de noter que les "anciennes" versions de PHP (< 5.3.6) silencieusement ignoré le paramètre charset dans la source de données.

    Explication

    Ce qui se passe, c'est que l'instruction SQL que vous passez à prepare est analysé et compilé par le serveur de base de données. En spécifiant des paramètres (soit un ? ou un paramètre nommé comme :name dans l'exemple ci-dessus) vous dites que le moteur de base de données où vous voulez filtrer. Ensuite, lorsque vous appelez execute, l'instruction préparée est combiné avec les valeurs des paramètres que vous spécifiez.

    La chose importante ici est que les valeurs des paramètres sont combinés avec l'compilé déclaration, pas une chaîne SQL. SQL injection fonctionne en incitant le script dans malveillants, y compris les chaînes lorsqu'il crée SQL afin de les envoyer à la base de données. Envoyer le réel SQL séparément à partir de ces paramètres, vous limitez le risque de se retrouver avec quelque chose que vous n'avez pas l'intention. Tous les paramètres que vous envoyez lorsque vous utilisez une instruction préparée va juste être traitées comme des chaînes (bien que le moteur de base de données peut faire quelques optimisation des paramètres peut finir comme les numéros de trop, bien sûr). Dans l'exemple ci-dessus, si le $name variable contient 'Sarah'; DELETE FROM employees le résultat serait tout simplement une recherche de la chaîne "'Sarah'; DELETE FROM employees", et vous n'aurez donc pas à une table vide.

    Un autre avantage de l'utilisation de déclarations préparées à l'avance, c'est que si vous exécutez le même relevé plusieurs fois dans la même session, il ne sera analysé et compilé une fois, vous donnant des gains de vitesse.

    Oh, et puisque vous avez posé la question de comment faire pour l'insérer, voici un exemple (en utilisant PDO):

    $preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute(array('column' => $unsafeValue));

    Peut préparées être utilisé pour les requêtes dynamiques?

    Alors que vous pouvez toujours utiliser les requêtes préparées pour les paramètres de la requête, la structure de la dynamique de la requête elle-même ne peut pas être paramétrées et certaines fonctionnalités de requête ne peut pas être paramétrées.

    À ces scénarios, la meilleure chose à faire est d'utiliser un filtre de liste blanche qui restreint les valeurs possibles.

    //Value whitelist
//$dir can only be 'DESC' otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
   $dir = 'ASC';
}
    • Juste pour ajouter, parce que je ne vois nulle part d'autre ici, une autre ligne de défense est une web application firewall (WAF) qui peuvent avoir des règles être configuré pour rechercher des attaques par injection sql:
    • Aussi, la documentation officielle de mysql_query seulement permet d'exécuter une requête, de sorte que toute autre question d'ailleurs ; est ignoré. Même si ce n'est déjà obsolète, il y a beaucoup de systèmes sous PHP 5.5.0 et qui peuvent utiliser cette fonction. php.net/manual/en/function.mysql-query.php
    • C'est une mauvaise habitude mais c'est un post-solution du problème : Non seulement pour l'injection SQL, mais pour n'importe quel type d'injections (par exemple il y avait un gabarit de vue de l'injection de trous dans F3 cadre v2) si vous avez un prêt vieux site web ou une application est la souffrance de l'injection de défauts , une solution consiste à réaffecter les valeurs de votre supperglobal prédéfinis vars comme $_POST avec échappé valeurs de bootstrap. Par PDO, il est encore possible de s'échapper (également pour les cadres aujourd'hui) : substr($pdo->quote($str, \PDO::PARAM_STR), 1, -1)
    • Cette réponse lui manque l'explication de ce qu'est une déclaration préparée à l'avance - une chose - c'est un gain de performance si vous utilisez beaucoup de déclarations préparées à l'avance lors de votre demande et, parfois, il représente 10x performances. Mieux ce serait le cas de l'utilisation de PDO avec la liaison de paramètre off, mais l'énoncé de préparation.
    • En utilisant PDO est mieux, dans le cas où vous êtes à l'aide de requête directe assurez-vous d'utiliser mysqli::escape_string
    • En fait en utilisant des requêtes préparées résout le problème. Si vous le faites avec PDO ou MySQLi n'est pas très important. Ce que vous devriez vous poser est de savoir pourquoi vous n'utilisez pas un db de la bibliothèque dans un cadre... la plupart d'entre eux (ORM Doctrine, etc) gérer ce genre de choses sous le capot de sorte que vous n'avez pas besoin de s'inquiéter à ce sujet... pour Faire ce genre de choses avec php db directement des fonctions est un peu comme l'utilisation d'un faible niveau de prise de la bibliothèque pour faire une requête http au lieu de simplement en utilisant Bouffer/HTTP ou cURL. Assurez-vous qu'il est bon de savoir comment le faire, mais voulez-vous vraiment?
    • cela sonne comme une bonne idée en théorie, mais parfois, les valeurs ont besoin d'un autre type d'évasions, par exemple pour SQL et HTML
    • filter_var() et mysql_real_escape_string() est également utilisable chose dans ce concept. n'est-ce pas?
    • simplement d'utiliser les fonctions php mysql_real_escape_string pour l'injection sql et strip_tag pour les xss.
    • stackoverflow.com/a/39778628/1848929

    InformationsquelleAutor
  2. 1598

    Obsolète Avertissement:
    Cette réponse est un exemple de code (comme la question de l'exemple de code) utilise PHP MySQL extension, qui a été dépréciée en PHP 5.5.0 et enlevé entièrement en PHP 7.0.0.

    Avertissement de sécurité: Cette réponse n'est pas en ligne avec les meilleures pratiques de sécurité. L'échappement est insuffisante pour prévenir l'injection SQL, utilisez préparées à la place. Utiliser la stratégie décrite ci-dessous à vos propres risques. (Aussi, mysql_real_escape_string() a été supprimé en PHP 7.)

    Si vous utilisez une version récente de PHP, le mysql_real_escape_string option décrite ci-dessous n'est plus disponible (bien que mysqli::escape_string est l'équivalent moderne). Ces jours-ci le mysql_real_escape_string option n'a de sens que pour le code de legs sur une ancienne version de PHP.

    Vous avez deux options s'échapper les caractères spéciaux dans votre unsafe_variable, ou à l'aide d'une requête paramétrée. Les deux devraient vous protéger contre l'injection SQL. La requête paramétrée est considéré comme la meilleure pratique, mais il faudra modifier pour une nouvelle extension MySQL en PHP avant de pouvoir l'utiliser.

    Nous parlerons de l'impact plus faible de la chaîne échapper une première.

    //Connect

$unsafe_variable = $_POST["user-input"];
$safe_variable = mysql_real_escape_string($unsafe_variable);

mysql_query("INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

//Disconnect

    Voir aussi, les détails de l' mysql_real_escape_string fonction.

    À l'utilisation de la requête paramétrée, vous devez utiliser MySQLi plutôt que de la MySQL fonctions. Pour reprendre ton exemple, nous aurions besoin de quelque chose comme ce qui suit.

    <?php
    $mysqli = new mysqli("server", "username", "password", "database_name");

    //TODO - Check that connection was successful.

    $unsafe_variable = $_POST["user-input"];

    $stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");

    //TODO check that $stmt creation succeeded

    //"s" means the database expects a string
    $stmt->bind_param("s", $unsafe_variable);

    $stmt->execute();

    $stmt->close();

    $mysqli->close();
?>

    La touche de fonction, vous aurez envie de lire, il y aurait mysqli::prepare.

    Aussi, comme d'autres l'ont suggéré, vous trouverez peut-être utile/plus facile à l'étape d'une couche d'abstraction avec quelque chose comme AOP.

    Veuillez noter que le cas vous m'avez demandé est assez simple et que les cas plus complexes peuvent nécessiter des approches plus complexes. En particulier:

    • Si vous souhaitez modifier la structure de la SQL basé sur la saisie de l'utilisateur, les requêtes paramétrées ne sont pas va aider, et la trajectoire de besoin n'est pas couvert par mysql_real_escape_string. Dans ce genre de cas, vous feriez mieux de passer l'entrée de l'utilisateur par le biais d'une liste blanche pour s'assurer que seuls des " sûr " les valeurs sont autorisés à traverser.
    • Si vous utilisez des nombres entiers à partir de la saisie de l'utilisateur dans une situation et de prendre les mysql_real_escape_string approche, vous allez souffrir de ce problème est décrit par Polynôme dans les commentaires ci-dessous. Ce cas est plus délicat parce que les entiers ne serait pas être entouré par des guillemets, de sorte que vous pourriez traiter par la validation de la saisie de l'utilisateur ne contient que des chiffres.
    • Il y a probablement d'autres cas, je ne suis pas au courant. Vous pourriez trouver cette est une ressource utile sur certains de la plus subtile des problèmes que vous pouvez rencontrer.
    • à l'aide de mysql_real_escape_string est assez ou je doit utiliser paramétrée trop?
    • garder une bonne pratique de l'utilisation de requêtes paramétrées, même sur un projet local. Avec des requêtes paramétrées, vous êtes garantie qu'il n'y aura pas d'injection SQL. Mais gardez à l'esprit que vous devez désinfecter les données pour éviter les faux de recherche (c'est à dire XSS, injection, tels que mettre du code HTML dans un texte) avec htmlentities par exemple
    • Bonne pratique de requêtes paramétrées, et de lier les valeurs, mais réel de la chaîne d'échappement est bonne pour l'instant
    • Je comprends l'inclusion de mysql_real_escape_string() pour l'exhaustivité, mais ne suis pas un fan de la cotation la plus le risque d'erreur de première approche. Le lecteur peut rapidement saisir le premier exemple. Bonne chose, il est obsolète maintenant 🙂
    InformationsquelleAutor
  3. 1028

    Chaque réponse ici ne couvre qu'une partie du problème.
    En fait, il y a quatre autre requête, les pièces qui l'on peut ajouter à cette dynamique: -

    • une chaîne
    • un certain nombre
    • un identificateur
    • une syntaxe mot-clé.

    Et les requêtes préparées ne couvrent que deux d'entre eux.

    Mais parfois, nous devons faire notre requête encore plus dynamique, l'ajout d'opérateurs ou d'identifiants ainsi.
    Donc, nous allons avoir besoin de différentes techniques de protection.

    En général, une telle approche de la protection est basée sur liste blanche.

    Dans ce cas, chaque paramètre dynamique doit être codé en dur dans votre script, et choisi dans l'ensemble.
    Par exemple, pour faire dynamique de la commande:

    $orders  = array("name", "price", "qty"); //Field names
$key     = array_search($_GET['sort'], $orders)); //See if we have such a name
$orderby = $orders[$key]; //If not, first one will be set automatically. smart enuf :)
$query   = "SELECT * FROM `table` ORDER BY $orderby"; //Value is safe

    Cependant, il est une autre façon de sécuriser les identificateurs d'échappement. Tant que vous avez un identifiant cité, vous pouvez échapper à backticks à l'intérieur par les doubler.

    Comme un pas de plus, on peut emprunter une idée vraiment géniale de prendre de l'espace réservé (une procuration pour représenter la valeur réelle dans la requête) à partir des déclarations préparées à l'avance et d'inventer un espace réservé d'un autre type - un identifiant de l'espace réservé.

    Donc, pour faire de la longue histoire courte: c'est un espace réservé, pas instruction préparée peut être considéré comme une balle d'argent.

    Donc, une recommandation générale peut être présenté sous la forme d'
    Aussi longtemps que vous êtes ajout dynamique de parties à la requête en utilisant des paramètres (et ces espaces réservés traitées correctement bien sûr), vous pouvez être sûr que votre requête est sûr.

    Encore, il y a un problème avec la syntaxe SQL mots-clés (tels que AND, DESC et par exemple), mais par liste blanche semble que la seule approche dans ce cas.

    Mise à jour

    Bien qu'il existe un accord général sur les meilleures pratiques en matière d'injection SQL de protection, il y a encore beaucoup de mauvaises pratiques. Et certains d'entre eux trop profondément enracinée dans l'esprit des utilisateurs de PHP. Par exemple, sur cette page il y a (bien qu'invisibles à la plupart des visiteurs) plus de 80 supprimé réponses - tous éliminés par la collectivité en raison de la mauvaise qualité ou la promotion de la bad et de pratiques dépassées. Pire encore, certaines mauvaises réponses ne sont pas supprimés, mais plutôt prospère.

    Par exemple, il y a(1) sont(2) encore(3) de nombreux(4) les réponses(5), y compris la deuxième plus upvoted répondre vous suggère manuel de l'échappement de la chaîne - une approche dépassée qui s'est avérée être précaire.

    Ou il y a un peu plus de réponse que suggère tout une autre méthode de mise en forme de chaîne et dispose même d'elle comme la panacée ultime. Bien sûr, il ne l'est pas. Cette méthode n'est pas meilleur que celui d'une chaîne de mise en forme, et pourtant, elle garde toutes ses inconvénients: elle est applicable à cordes et, comme tout autre manuel de mise en forme, c'est essentiellement en option, non obligatoire dans la mesure, sujets à l'erreur humaine de toute sorte.

    Je pense que tout cela à cause d'une très vieille superstition, pris en charge par ces autorités comme OWASP ou le manuel PHP, qui proclame l'égalité entre ce qui "s'échapper" et la protection contre les injections SQL.

    Indépendamment de ce manuel PHP dit pour les âges, *_escape_string par aucun moyen rend la sécurité des données et n'a jamais été prévu pour. En plus d'être inutile pour SQL partie autre que celui de la chaîne, manuel de l'échappement est faux, car c'est le manuel que face à l'automatisation.

    Et OWASP le rend encore pire, en insistant sur la fuite des la saisie de l'utilisateur qui est un véritable non-sens: il devrait y avoir aucun de ces mots dans le contexte de l'injection de protection. Chaque variable est potentiellement dangereux, quelle que soit la source! Ou, en d'autres termes, chaque variable doit être correctement mis en forme pour être mis dans une requête, peu importe la source de nouveau. C'est la destination qui compte. Le moment où un développeur commence à séparer les brebis des chèvres (en pensant que certains variable donnée est "sûr" ou pas), il/elle prend son premier pas vers la catastrophe. Ne pas oublier que même la formulation suggère en vrac s'échapper sur le point d'entrée, ressemblant à de la la très de la magie fonctionnalité devis - déjà méprisé, obsolète et enlevé.

    Ainsi, contrairement à ce qui "s'enfuir", préparées est la mesure qui protège effectivement contre l'injection SQL (le cas échéant).

    Si vous n'êtes toujours pas convaincu, voici un guide étape-par-étape des explications que j'ai écrit, Le Hitchhiker's Guide to SQL Injection de prévention, où j'ai expliqué toutes ces questions en détail et même compilé une section entièrement dédiée aux mauvaises pratiques et de leur divulgation.

    • Grand, bien pensé article. Je pourrais ajouter que l'utilisation de la Désinfecter les filtres de PHP est du genre (mais pas exactement) une liste blanche de toutes sortes. Par exemple, FILTER_SANITIZE_NUMBER_INT permet uniquement le nombre de caractères, ce qui de liste blanche des personnages, pas toute les chaînes. En combinaison avec des déclarations préparées à l'avance, il fait un bon "ceinture et bretelles" approche.
    • vous n'avez pas besoin d'une liste blanche ici. Tout d'assainissement va être redondant. Moins de règles à suivre, moins vous ferez des erreurs. Bien que vous pourriez faire toutes les validations, le faire pour l'intérêt de la logique de l'application, mais pas pour la base de données.
    InformationsquelleAutor
  4. 814

    Je vous recommande d'utiliser AOP (PHP Data Objects) pour exécuter des requêtes SQL paramétrées.

    Cela ne fait pas que protéger contre les injections SQL, il permet également d'accélérer les requêtes.

    Et en utilisant PDO plutôt que mysql_, mysqli_, et pgsql_ fonctions, vous faites de votre application un peu plus abstraite à partir de la base de données, dans de rares cas que vous devez passer des fournisseurs de bases de données.

    • ne pas PDO envelopper mysqli pour MySQL DBs? Auquel cas, il peut certainement pas être plus rapide que mysqli. Je voudrais encore vous recommandons de bien. C'est une bien meilleure interface de l'API mysqli.
    • Utilisation de requêtes paramétrées est ce qui accélère les requêtes. Techniquement mysqli peut-être même plus rapidement que par une très petite marge. La quantité réelle de temps le serveur pour répondre à la requête éclipses toute différence de timing qui pourrait se produire parce que vous êtes à l'aide d'un wrapper. Mais mysqli est liée à la base de données. Si vous souhaitez utiliser un autre moteur de base de données, vous devez modifier tous les appels que d'utiliser mysqli. Pas tellement pour les AOP.
    • PDO n'est pas prise en charge dynamique order by malheureusement 🙁
    InformationsquelleAutor
  5. 604

    Utilisation PDO et les requêtes préparées.

    ($conn est un PDO objet)

    $stmt = $conn->prepare("INSERT INTO tbl VALUES(:id, :name)");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();
    • À partir de wikipédia: les requêtes Préparées sont résistants contre les injections SQL, parce que les valeurs de paramètres, qui sont transmises plus tard en utilisant un protocole différent, n'a pas besoin d'être correctement échappé. Si l'original de la déclaration modèle n'est pas dérivée de l'entrée externe, l'injection SQL ne peut pas se produire.
    InformationsquelleAutor
  6. 535

    Comme vous pouvez le voir, les gens vous suggérons d'utiliser les requêtes préparées tout au plus. C'est pas faux, mais si votre requête est exécutée juste une fois par processus, il y aurait une légère perte de performance.

    J'ai été confronté à ce problème, mais je pense que je l'ai résolu en très manière sophistiquée - la façon dont les pirates de l'utiliser pour éviter à l'aide de citations. Je l'utilise en conjonction avec des émules déclarations préparées à l'avance. Je l'utilise pour prévenir tous sortes de possibles attaques par injection SQL.

    Mon approche:

    • Si vous prévoyez d'entrée d'être entier assurez-vous que c'est vraiment entier. Dans une variable de type langage comme PHP c'est ce très important. Vous pouvez utiliser, par exemple, cette solution simple mais efficace: sprintf("SELECT 1,2,3 FROM table WHERE 4 = %u", $input);

    • Si vous vous attendez à rien d'autre de entier hex il. Si vous hex, vous pourrez parfaitement échapper à toutes les entrées. En C/C++ il y a une fonction appelée mysql_hex_string(), en PHP, vous pouvez utiliser bin2hex().

      Ne vous inquiétez pas échappé à la chaîne aura un 2x la taille de sa longueur d'origine, parce que même si vous utilisez mysql_real_escape_string, PHP a pour allouer de la même capacité ((2*input_length)+1), qui est le même.

    • Cet hex méthode est souvent utilisée lorsque vous transférez des données binaires, mais je ne vois pas de raison de ne pas l'utiliser sur toutes les données pour éviter les attaques par injection SQL. Notez que vous devez ajouter des données avec 0x ou utiliser la fonction MySQL UNHEX à la place.

    Ainsi, par exemple, la requête:

    SELECT password FROM users WHERE name = 'root'

    Deviendra:

    SELECT password FROM users WHERE name = 0x726f6f74

    ou

    SELECT password FROM users WHERE name = UNHEX('726f6f74')

    Hex est l'évasion parfaite. Aucun moyen de l'injection.

    Différence entre UNHEX fonction et le préfixe 0x

    Il y a des discussions dans les commentaires, donc je tiens enfin à préciser. Ces deux approches sont très similaires, mais ils sont un peu différentes à certains égards:

    L' ** 0** préfixe peut être utilisé uniquement pour les colonnes de données telles que char, varchar, text, bloc, binaire, etc.

    Aussi, son utilisation est un peu compliqué si vous êtes sur le point d'insérer une chaîne vide. Vous aurez à remplacer entièrement avec '', ou vous obtiendrez une erreur.

    UNHEX() fonctionne sur tout colonne; vous n'avez pas à vous soucier de la chaîne vide.

    Hex méthodes sont souvent utilisées comme des attaques

    Noter que cet hex méthode est souvent utilisée comme une attaque par injection SQL, où les entiers sont juste comme les chaînes et les échappés juste avec mysql_real_escape_string. Ensuite, vous pouvez éviter l'utilisation de guillemets.

    Par exemple, si vous venez de faire quelque chose comme ceci:

    "SELECT title FROM article WHERE id = " . mysql_real_escape_string($_GET["id"])

    une attaque peut vous injectez très facilement. Considérez les points suivants code injecté est retourné à partir de votre script:

    SÉLECTIONNEZ ... where id = -1 union all select table_name de information_schema.tables

    et maintenant il suffit d'extraire structure de la table:

    SÉLECTIONNEZ ... where id = -1 union all select column_name de information_schema.colonne où table_name = 0x61727469636c65

    Et puis il suffit de sélectionner toutes les données, celles veulent. N'est-ce pas cool?

    Mais si le vendeur d'un produit injectable site hex-il, pas d'injection serait possible parce que la requête devrait ressembler à ceci: SELECT ... WHERE id = UNHEX('2d312075...3635')

    • J'aime l'idée, mais qu'en est des performances, je veux dire, si vous avez 1 million de disques et de 1 000 utilisateurs de la recherche ne ralentir que de les comparer à préparer la solution ?
    • Je viens de test, SÉLECTIONNEZ * à PARTIR de tblproducts OÙ product_code COMME ( '%42%') ne trouve de record, mais SÉLECTIONNEZ * à PARTIR de tblproducts OÙ product_code COMME ('%' +0x3432 +'%') n'est pas le cas, cela ne fonctionne pas ou j'ai fait quelque chose de mal ?
    • Oui, vous l'avez fait. MySQL ne marche pas concaténer avec + mais avec CONCAT. Et de la performance: je ne pense pas que cela affecte les performances, car mysql dispose d'analyse de données et il n'importe pas si l'origine est une chaîne ou hex
    • Quelles erreurs avez-vous rencontrer? Être spécifique.
    • Votre 0x . $_GET["id"] pour id 42 entraînera octet ascii code 42. Essayez SELECT 0x42 et vous verrez ce que vous êtes.
    • S'il vous plaît, s'il vous plaît s'il vous PLAÎT lire mon code! Il n'y a pas de 0x . $_GET["id"] là. Mais de toute façon, il ne sera pas trouver un numéro 42 de trop
    • Vous ne comprenez pas le concept... Si vous voulez avoir de la chaîne de mysql que vous citez comme ça 'root' ou vous pouvez hex il 0x726f6f74 MAIS si vous voulez que le numéro et l'envoyer en tant que chaîne de caractères, vous aurez probablement écrire '42' pas de CHAR(42) ... '42' hex serait 0x3432 pas 0x42
    • Ni 0x3432 ni 0x42 ne trouverez pas une chose. C'est le point. C'est pourquoi votre "solution" est pire que de mise en forme standard et n'est donc pas une solution à tout.
    • Je n'ai rien à dire... juste lol... si vous voulez continuer à essayer hex sur les champs de type numérique, voir le deuxième commentaire. Je parie avec vous que ça va marcher.
    • J'implore mon pardon, avez-vous essayez d'exécuter le très solution proposée vous-même? "SELECT title FROM article WHERE id = 0x" . bin2hex($_GET["id"])? Quel est le problème avec la représentation ici?
    • La réponse indique clairement qu'il ne fonctionne pas de cette façon avec des valeurs de type entier, la raison étant que bin2hex convertit la valeur passée à une chaîne (et donc bin2hex(0) est 0x30, et pas 0x03) - c'est probablement la partie qui vous trouble. Si vous suivez cela, il fonctionne parfaitement (au moins sur mon site, testé avec 4 différentes versions de mysql sur debian machines, 5.1.x 5.6.x). Après tout, hexadécimal est seulement le moyen de la représentation, non pas la valeur 😉
    • vous ne comprennent pas encore ? Vous ne pouvez pas utiliser 0x et concat parce que si la chaîne est vide, vous allez vous retrouver avec une erreur. Si vous voulez simple alternative à votre requête essayer celui-ci SELECT title FROM article WHERE id = UNHEX(' . bin2hex($_GET["id"]) . ')
    • Si vous ne voulez pas le faire vous n'avez pas à le faire. Je ne suis pas vous forcer 🙂
    • quoi? Ce n'hexing à voir avec la taille de la table? Êtes-vous sûr que vous comprenez la différence entre les données et sa représentation?
    • lire "(entrée fixe à la taille) les tableaux" - chaque entrée correspond à une taille fixe. Et c'est sur la transformation de u_int8_t à uint16_t, qui peut facilement être parallélisée en utilisant (entrée fixe à la taille) des tables dans un langage de programmation comme le c. Aussi, comme je l'ai dit, la vraie raison de l'utiliser, ce serait juste pour faire quelque chose de différent, comme une sorte de différence de performances des différentes méthodes serait tellement petit que ça (probablement) ne serait pas d'importance dans la réalité.
    • Les requêtes préparées sont plus lents que la concaténation de chaîne en fonction des requêtes sql dans un scénario où les requêtes ne sont pas appliqués plusieurs fois, à cause d'un facteur de 2:1 (vous pouvez exécuter 2 fois plus de chaîne de caractères en fonction de requêtes préparées en même temps) lors de l'utilisation de hébergés localement, mysql 5.x connecté localement à travers la socket unix. C'est la raison pour moi de préférer la chaîne de caractères en fonction sql plus de déclarations préparées à l'avance (bien que sql est douloureusement lent de toute façon par rapport à la mémoire kv magasins). Aussi, il (=posted réponse) est fiable par concept - comprendre comment il fonctionne, et vous verrez pourquoi.
    • C'est vraiment une approche astucieuse. Est-ce quelque chose qui va travailler avec d'autres serveurs de base de données (Oracle, Microsoft, etc), ou spécifiques à MySQL?
    • mysql_real_escape_string est maintenant obsolète, de sorte que sa n'est plus une option viable. Il sera supprimé à partir de PHP dans le futur. De son mieux pour se déplacer sur ce que le PHP ou MySQL gens recommander.
    • Même si elle a été frappée par php, c'est pas obsolètes ou dépréciés par mysql. C'est encore sûr à utiliser, php est en train de remplacer ces api natives avec plus de couches pour maximiser le confort et la sécurité pour leurs utilisateurs finaux. Vous pouvez voir ici que PDO couche utilise mysql_real_escape_string ainsi. Personnellement, j'aime aussi l'aide de plus haut niveau de l'Api et de laisser ce genre de choses pour eux, parce que les erreurs se produisent.
    • Carillon accord avec @MKaama ici, je pense que c'est une jolie réponse intelligente. J'ai utiliser des requêtes paramétrées moi-même, mais je voulais juste voir si UNHEX() équivalent existe dans SQL Server. S'avère que nous sommes à gauche avec quelque chose le long de ces lignes: SELECT CONVERT(VARCHAR(MAX), 0x4142) Bien, je suppose que l'on pouvait port UNHEX() eux-mêmes s'ils vraiment voulu.
    • Donc, vous dites à l'aide de myqli_real_escape_string à l'intérieur de la requête elle-même sans les guillemets permettra à des injections sql? Et ce n'est pas le cas si elle a été utilisée à l'extérieur de la requête?
    • Vous ne savez pas si compris, mais vous ne devriez pas supposer type de l'entrée de l'utilisateur, mais prouver/vérifier la place. Utilisation de mysql_real_escape_string sur un nombre entier est vraiment un non-sens de toute façon, car si c'est vraiment un entier, il ne peut pas faire la requête exploitable. Par exemple le printf-les fonctions de la famille ont des formats tels que le %d, %u, %f, et ainsi de suite et implicitement convertie en la valeur souhaitée ou tout simplement jeter le résultat. Avec des chaînes, vous devez utiliser des guillemets et aussi assurez-vous que vous avez correctement réglé jeu de caractères, ou vous pouvez utiliser sortilège de la méthode ci-dessus, préparées ou donc.
    • Il y a une syntaxe alternative pour l'hexagone littéraux qui est x'' de sorte que vous pouvez avoir des valeurs vides, trop! x'79656574' - pas d'erreurs avec les cordes à vide, contrairement à 0x qui n'est pas valide

    InformationsquelleAutor
  7. 484

    Obsolète Avertissement:
    Cette réponse est un exemple de code (comme la question de l'exemple de code) utilise PHP MySQL extension, qui a été dépréciée en PHP 5.5.0 et enlevé entièrement en PHP 7.0.0.

    Avertissement de sécurité: Cette réponse n'est pas en ligne avec les meilleures pratiques de sécurité. L'échappement est insuffisante pour prévenir l'injection SQL, utilisez préparées à la place. Utiliser la stratégie décrite ci-dessous à vos propres risques. (Aussi, mysql_real_escape_string() a été supprimé en PHP 7.)

    IMPORTANT

    La meilleure façon de prévenir l'Injection SQL consiste à utiliser Préparées au lieu de s'en échapper,, comme la accepté de répondre à montre.

    Il y a des bibliothèques comme Aura.Sql et EasyDB qui permettent aux développeurs d'utiliser les requêtes préparées plus facile. Pour en savoir plus sur pourquoi les requêtes préparées sont de mieux en mieux l'arrêt de l'injection SQL, reportez-vous à ce mysql_real_escape_string() bypass et récemment fixé Unicode vulnérabilités d'Injection SQL de WordPress.

    Injection de prévention - mysql_real_escape_string()

    PHP spécialement fait pour éviter ces attaques. Tout ce que vous devez faire est d'utiliser la taille d'une bouchée d'une fonction, mysql_real_escape_string.

    mysql_real_escape_string prend une chaîne de caractères qui est destiné à être utilisé dans une requête MySQL et le retour de la même chaîne avec tous les injection SQL tente en toute sécurité échappé. Fondamentalement, il remplacera les ennuyeuses d'apostrophes(') un utilisateur peut entrer avec un MySQL-remplacement sécurisé, une fuite de devis \'.

    REMARQUE: vous devez être connecté à la base de données pour utiliser cette fonction!

    //Connexion à MySQL

    $name_bad = "' OR 1'"; 

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";


$name_evil = "'; DELETE FROM customers WHERE 1 or username = '"; 

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;

    Vous pouvez trouver plus de détails en MySQL - SQL Injection de Prévention.

    • C'est le meilleur que vous pouvez faire avec l'héritage de l'extension mysql. Pour le nouveau code, vous êtes invités à passer à mysqli ou PDO.
    • Je ne suis pas d'accord avec ce " a spécialement fait pour éviter ces attaques. Je pense que mysql_real_escape_string but est de permettre de construire un bon de requête SQL pour chaque entrée de données de la chaîne. Prévention de l'injection de code sql est l'effet secondaire de cette fonction.
    • ne pas utiliser ces fonctions pour écrire d'entrée correcte des données de chaînes de caractères. Vous venez d'écrire, de corriger ceux qui n'ont pas besoin de s'en échapper ou ont déjà été échappé. mysql_real_escape_string() peut avoir été conçu avec le but que vous mentionnez dans l'esprit, mais sa seule valeur est la prévention de l'injection.
    • ATTENTION! mysql_real_escape_string() n'est pas infaillible.
    • Surtout si vous êtes déconner avec les différents jeux de caractères.
    • mysql_real_escape_string est maintenant obsolète, de sorte que sa n'est plus une option viable. Il sera supprimé dans le futur à partir de PHP. De son mieux pour se déplacer sur ce que le PHP ou MySQL gens recommander.
    • J'aimerais demander à cet être modifié avec un avertissement: les requêtes Préparées sont plus faciles à utiliser en toute sécurité et en toute sécurité à partir d'un point de vue de l'ingénierie: les paramètres et la chaîne de requête sont envoyés en séparer les paquets, ce qui empêche les paramètres de la modification de la chaîne de requête. Aussi: stackoverflow.com/questions/5741187/...
    • Ok le bypass ne dit rien à propos "Pour en savoir plus sur pourquoi les requêtes préparées sont de mieux en mieux l'arrêt de l'injection SQL, reportez-vous à cette mysql_real_escape_string() bypass". Plutôt le contraire, que les instructions préparées souffrent des mêmes problèmes et PDO n'est pas une exception. "Il y a pire. AOP par défaut à l'émulation préparées avec MySQL. Cela signifie que sur le côté client, il fait un sprintf par mysql_real_escape_string() (dans la bibliothèque C), ce qui signifie ce qui suit entraîne une injection réussie:"

    InformationsquelleAutor
  8. 446

    Que vous pourriez faire quelque chose de simple comme ceci:

    $safe_variable = mysqli_real_escape_string($_POST["user-input"], $dbConnection);
mysqli_query($dbConnection, "INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

    Cela ne va pas résoudre tous les problèmes, mais c'est un très bon tremplin. J'en ai laissé évidente des éléments tels que la vérification de la variable de l'existence, format (chiffres, lettres, etc.).

    • J'ai essayé votre exemple, et c'est le travail très bien pour moi.Pourriez-vous effacer "cela ne va pas résoudre tous les problèmes"
    • Si vous ne citez pas la chaîne, c'est toujours injectable. Prendre $q = "SELECT col FROM tbl WHERE x = $safe_var"; par exemple. Réglage $safe_var à 1 UNION SELECT password FROM users fonctionne dans ce cas, en raison de l'absence de guillemets. Il est également possible d'injecter des chaînes de caractères dans la requête à l'aide de CONCAT et CHR.
    • Complètement à droite, mais je voudrais voir ce simplement comme un mauvais usage. Aussi longtemps que vous l'utilisez correctement, il sera certainement le travail.
    • donc, si j'écris ces codes, db est encore non protégés? mysql_query("INSERT INTO table (colonne) VALUES ('$safe_variable')");
    • N'empêche pas '1 OU 1=1'
    • ATTENTION! mysql_real_escape_string() n'est pas infaillible.
    • mysql_real_escape_string est maintenant obsolète, de sorte que sa n'est plus une option viable. Il sera supprimé dans le futur à partir de PHP. De son mieux pour se déplacer sur ce que le PHP ou MySQL gens recommander.
    • Merci de me donner l'exemple avant de mysqli_real_escape_string et après la chaîne de caractères qui est généré. Comme il casuse confusion et aucun exemple n'est donné.
    • Le code ci-dessus ne fonctionne pas. mysqli_real_escape_string attend deux paramètres. case
    • Salut! Pouvez-vous fournir plus de réponse précise? Veuillez couvrir toutes les façons possibles de prévention des injections sql.

    InformationsquelleAutor
  9. 372

    Ce que vous n'utilisez en fin de compte, assurez-vous de vérifier votre saisie qui n'a pas déjà été mutilé par magic_quotes ou d'une autre signification de la foutaise, et, si nécessaire, le lancer à travers stripslashes ou que ce soit pour l'assainir.

    • En effet, courir avec magic_quotes allumé encourage simplement une mauvaise pratique. Cependant, parfois, vous ne pouvez pas toujours contrôler l'environnement à ce niveau - soit vous n'avez pas accès pour gérer le serveur, ou votre application doit coexister avec d'autres applications qui (frisson) dépend de la configuration. Pour ces raisons, il est bon d'écrire des applications portables - bien évidemment, l'effort est gaspillé si vous ne le contrôle de l'environnement de déploiement, par exemple, parce que c'est une application maison, ou uniquement destiné à être utilisé dans votre environnement spécifique.
    • Depuis PHP 5.4, l'abomination connu comme "magic quotes" a été tué morts. Et bon débarras.
    InformationsquelleAutor
  10. 353

    Obsolète Avertissement:
    Cette réponse est un exemple de code (comme la question de l'exemple de code) utilise PHP MySQL extension, qui a été dépréciée en PHP 5.5.0 et enlevé entièrement en PHP 7.0.0.

    Avertissement de sécurité: Cette réponse n'est pas en ligne avec les meilleures pratiques de sécurité. L'échappement est insuffisante pour prévenir l'injection SQL, utilisez préparées à la place. Utiliser la stratégie décrite ci-dessous à vos propres risques. (Aussi, mysql_real_escape_string() a été supprimé en PHP 7.)

    Requête paramétrée ET la validation des entrées est le chemin à parcourir. Il ya beaucoup de scénarios pour lesquels l'injection SQL peut se produire, même si mysql_real_escape_string() a été utilisé.

    Ces exemples sont vulnérables à l'injection SQL:

    $offset = isset($_GET['o']) ? $_GET['o'] : 0;
$offset = mysql_real_escape_string($offset);
RunQuery("SELECT userid, username FROM sql_injection_test LIMIT $offset, 10");

    ou

    $order = isset($_GET['o']) ? $_GET['o'] : 'userid';
$order = mysql_real_escape_string($order);
RunQuery("SELECT userid, username FROM sql_injection_test ORDER BY `$order`");

    Dans les deux cas, vous ne pouvez pas utiliser ' pour protéger l'encapsulation.

    Source: L'Inattendu Injection SQL (Lors de l'évacuation n'Est Pas Assez)

    • Vous pouvez éviter les injections SQL si vous adoptez une entrée de validation technique dans laquelle la saisie de l'utilisateur est authentifié sur un ensemble de règles définies pour la longueur, le type et la syntaxe et également à l'encontre des règles.
    InformationsquelleAutor
  11. 304

    À mon avis, la meilleure façon, généralement, de prévenir l'injection SQL dans votre application PHP (ou toute application web, d'ailleurs), c'est de penser au sujet de votre application à l'architecture. Si la seule façon de protéger contre les injections SQL est de se rappeler d'utiliser une méthode ou une fonction qui fait La bonne Chose chaque fois que vous parlez à la base de données, vous le faites mal. De cette façon, c'est juste une question de temps jusqu'à ce que vous oubliez de formater correctement votre requête à un certain moment dans votre code.

    Adoptant le modèle MVC et un cadre comme CakePHP ou CodeIgniter est probablement la bonne façon de faire: les tâches Courantes, comme la création de sécuriser les requêtes de base de données ont été résolus de manière centralisée et mis en œuvre dans de tels cadres. Ils vous aideront à organiser votre application web d'une manière sensible et vous faire réfléchir plus sur le chargement et l'enregistrement des objets que solidement la construction unique des requêtes SQL.

    • Je pense que votre premier paragraphe est important. La compréhension est la clé. Aussi, tout le monde n'est pas de travailler pour une entreprise. Pour une grande quantité de personnes, cadres de en fait aller à l'encontre de l'idée de comprendre. Obtenir intime avec les fondamentaux ne peuvent pas être évalués tout en travaillant sous un délai, mais le do-it-yourself là-profiter de se salir les mains. Cadre développeurs ne sont pas aussi privilégiés que tout le monde doit s'incliner et de supposer qu'ils ne font jamais d'erreurs. Le pouvoir de prendre des décisions est encore important. Qui est-à-dire que mon cadre ne sera pas déplacer une partie autre régime dans le futur?
    • Vous avez absolument raison. Il est très important de comprendre ce qui se passe et pourquoi. Toutefois, la chance qu'une vraie-et-essayé et activement utilisé et développé cadre a rencontré et résolu beaucoup de problèmes et corrigé beaucoup de trous de sécurité est déjà assez élevé. C'est une bonne idée de regarder la source pour avoir une idée de la qualité du code. Si c'est non testé désordre qu'il est probablement pas sécurisé.
    • Ici. Ici. Les bons points. Cependant, seriez-vous d'accord que beaucoup de gens peuvent étudier et apprendre à adopter un système MVC, mais tout le monde ne peut reproduire à la main (les contrôleurs et le serveur). On peut aller trop loin avec ce point. Dois-je comprendre mon four à micro-ondes avant de me réchauffer mon beurre d'arachide, de noix de pécan, des cookies, mon amie m'a fait? 😉
    • Je suis d'accord! Je pense que le cas d'utilisation fait une différence aussi: Suis-je à la construction d'une galerie de photos pour ma page d'accueil personnelle ou suis-je en la construction d'une banque en ligne d'applications web? Dans ce dernier cas, il est très important de comprendre les détails de la sécurité et de la façon dont un cadre que je suis en utilisant la résolution de ces.
    • Ah, à l'exception de sécurité pour le faire vous-même corollaire. Voir, j'ai tendance à être prêts à tout risquer et faire preuve d'audace. 🙂 Je plaisante. Avec suffisamment de temps, les gens peuvent apprendre à faire sacrément sûr de l'application. Trop de gens sont dans une course. Ils jettent leurs mains et supposer que les cadres sont les sûr. Après tout, ils n'ont pas assez de temps pour tester et comprendre les choses. Par ailleurs, la sécurité est un domaine qui nécessite une étude dédiée. Il n'est pas quelque chose de simple les programmeurs connaissent en profondeur par la vertu de la compréhension des algorithmes et des modèles de conception.
    InformationsquelleAutor
  12. 290

    Je préfère procédures stockées (MySQL a eu des procédures stockées depuis 5.0) à partir d'un point de vue sécurité - les avantages sont -

    1. La plupart des bases de données (y compris MySQL) permettent à l'utilisateur d'un accès limité à l'exécution des procédures stockées. Fine-grain de sécurité de contrôle d'accès est utile pour prévenir l'escalade de privilèges d'attaques. Cela empêche compromis applications d'être en mesure d'exécuter SQL directement à l'encontre de la base de données.
    2. Ils abstraction de la crue de la requête SQL à partir de l'application, de sorte que moins d'informations de la structure de base de données est disponible à la demande. Cela rend plus difficile pour les gens à comprendre la structure sous-jacente de la base de données et concevoir des attaques.
    3. Ils acceptent uniquement les paramètres, de sorte que les avantages de requêtes paramétrées sont là. Bien sûr IMO - vous besoin de stériliser vos commentaires, surtout si vous utilisez SQL dynamique à l'intérieur de la procédure stockée.

    Les inconvénients sont -

    1. Ils (procédures stockées) qui sont difficiles à maintenir, et ont tendance à se multiplier très rapidement. Cela rend la gestion d'un problème.
    2. Ils ne sont pas très approprié pour les requêtes dynamiques - si elles sont construites à accepter de code dynamique en tant que paramètres, puis beaucoup de les avantages sont annulés.
    InformationsquelleAutor
  13. 284

    Il existe de nombreuses façons de prévenir les injections SQL et SQL hacks. Vous pouvez facilement le trouver sur Internet (Recherche sur Google). Bien sûr AOP est l'une des bonnes solutions. Mais je voudrais vous proposer quelques bons liens de la prévention contre l'Injection SQL.

    Qu'est-ce que l'injection SQL et comment les prévenir

    Manuel PHP pour l'injection SQL

    Microsoft explication de l'injection SQL et de prévention en PHP

    et quelques autres, comme La prévention de l'injection SQL avec MySQL et PHP

    Maintenant, pourquoi vous le faites, vous devez prévenir votre requête à partir de l'injection SQL?

    Je voudrais savoir: Pourquoi devons-nous essayer pour la prévention de l'injection SQL avec un petit exemple ci-dessous:

    Requête pour l'authentification de la connexion de match:

    $query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";

    Maintenant, si quelqu'un (un pirate) met

    $_POST['email']= admin@emali.com' OR '1=1

    et mot de passe rien....

    La requête sera analysée dans le système jusqu'à:

    $query="select * from users where email='[email protected]' OR '1=1';

    L'autre partie seront rejetées. Donc, ce qui va arriver? Un non-utilisateur autorisé (hacker) sera en mesure de se connecter en tant qu'administrateur sans avoir son mot de passe. Maintenant, il peut faire tout ce que admin/e-mail personne peut faire. Voir, c'est très dangereux si l'injection SQL n'est pas empêché.

    InformationsquelleAutor
  14. 260

    Je pense que si quelqu'un veut utiliser PHP et MySQL ou quelque autre serveur de base de données:

    1. Réfléchir à l'apprentissage AOP (PHP Data Objects) – c'est un accès à la base de la couche de fournir une méthode uniforme de l'accès à plusieurs bases de données.
    2. Réfléchir à l'apprentissage MySQLi
    3. Utiliser les fonctions PHP natives comme: strip_tags, mysql_real_escape_string ou si la variable numérique, juste (int)$foo. Lire plus sur le type de variables en PHP ici. Si vous utilisez des bibliothèques comme PDO ou MySQLi, utilisez toujours PDO::quote() et mysqli_real_escape_string().

    Bibliothèques exemples:

    ---- AOP

    ----- Pas d'espaces réservés mûrs pour l'injection SQL! C'est mauvais

    $request = $pdoConnection->("INSERT INTO parents (name, addr, city) values ($name, $addr, $city)");

    ----- Sans nom des espaces réservés

    $request = $pdoConnection->("INSERT INTO parents (name, addr, city) values (?, ?, ?);

    ----- Nommée espaces réservés

    $request = $pdoConnection->("INSERT INTO parents (name, addr, city) value (:name, :addr, :city)");

    --- MySQLi

    $request = $mysqliConnection->prepare('
       SELECT * FROM trainers
       WHERE name = ?
       AND email = ?
       AND last_login > ?');

    $query->bind_param('first_param', 'second_param', $mail, time() - 3600);
    $query->execute();

    P. S:

    AOP gagne cette bataille avec la facilité. Avec le soutien de douze
    les différents pilotes de base de données et les paramètres nommés, nous pouvons ignorer l'
    petite perte de performance, et de s'habituer à son API. En matière de sécurité
    point de vue, deux d'entre eux sont en sécurité tant que le développeur utilise
    la façon dont ils sont censés être utilisés

    Mais alors que les deux PDO et MySQLi sont assez rapide, MySQLi effectue
    pas significativement plus rapide dans les benchmarks – ~2,5% pour les non-préparés
    états, et ~6,5% pour ceux préparés.

    Et s'il vous plaît tester chaque requête à votre base de données - c'est une meilleure façon de prévenir l'injection.

    InformationsquelleAutor
  15. 252

    Si possible, cast le type de vos paramètres. Mais c'est seulement en travaillant sur les types simples comme int, bool, et de flotter.

    $unsafe_variable = $_POST['user_id'];

$safe_variable = (int)$unsafe_variable ;

mysqli_query($conn, "INSERT INTO table (column) VALUES ('" . $safe_variable . "')");
    • C'est l'un des rares cas où je voudrais utiliser un "échappé à la valeur" au lieu d'une déclaration préparée. Et entier de la conversion de type est extrêmement efficace.
    InformationsquelleAutor
  16. 228

    Si vous voulez prendre avantage de les moteurs de cache, comme Redis ou Memcached, peut-être DALMP pourrait être un choix. Il utilise pure MySQLi. Vérifiez ceci: DALMP Couche d'Abstraction de Base de MySQL à l'aide de PHP.

    Aussi, vous pouvez préparer vos arguments avant de préparer votre requête, de sorte que vous pouvez construire des requêtes dynamiques et à la fin ont entièrement préparées requête. DALMP Couche d'Abstraction de Base de MySQL à l'aide de PHP.

    InformationsquelleAutor
  17. 219

    Pour ceux incertain de la façon d'utiliser PDO (venant de la mysql_ fonctions), j'ai fait un très, très simple AOP wrapper qui est un fichier unique. Il existe pour montrer comment il est facile de faire toutes les choses les demandes doivent être faites. Fonctionne avec PostgreSQL, MySQL et SQLite.

    Fondamentalement, lire pendant que vous lisez le manuel pour voir comment mettre de la PDO fonctions à utiliser dans la vraie vie pour faire simple pour stocker et récupérer des valeurs dans le format vous souhaitez.

    Je veux une seule colonne

    $count = DB::column('SELECT COUNT(*) FROM `user`);

    Je veux un tableau(clé => valeur) résultats (c'est à dire pour faire une selectbox)

    $pairs = DB::pairs('SELECT `id`, `username` FROM `user`);

    Je veux une seule ligne de résultat

    $user = DB::row('SELECT * FROM `user` WHERE `id` = ?', array($user_id));

    Je veux un tableau de résultats

    $banned_users = DB::fetch('SELECT * FROM `user` WHERE `banned` = ?', array(TRUE));
    InformationsquelleAutor
  18. 217

    À l'aide de cette fonction PHP mysql_escape_string() vous pouvez obtenir une bonne prévention dans une voie rapide.

    Par exemple: 

    SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."'

    mysql_escape_string Échappe une chaîne pour l'utiliser dans un mysql_query

    Pour plus de prévention, vous pouvez ajouter à la fin ... 

    wHERE 1=1   or  LIMIT 1

    Enfin, vous bénéficiez de:

    SELECT * FROM users WHERE name = '".mysql_escape_string($name_from_html_form)."' LIMIT 1
    InformationsquelleAutor
  19. 199

    Quelques lignes directrices pour échapper les caractères spéciaux dans les instructions SQL.

    Ne pas utiliser MySQL, cette extension est obsolète, utilisez MySQLi ou AOP.

    MySQLi

    De la main à échapper les caractères spéciaux dans une chaîne de caractères, vous pouvez utiliser le mysqli_real_escape_string fonction. La fonction ne fonctionnera pas correctement si le jeu de caractères correct est défini avec mysqli_set_charset.

    Exemple:

    $mysqli = new mysqli( 'host', 'user', 'password', 'database' );
$mysqli->set_charset( 'charset');

$string = $mysqli->real_escape_string( $string );
$mysqli->query( "INSERT INTO table (column) VALUES ('$string')" );

    Automatique s'échapper de valeurs avec les requêtes préparées, utilisez mysqli_prepare, et mysqli_stmt_bind_param où le type de la lier les variables doivent être fournis pour une conversion appropriée:

    Exemple:

    $stmt = $mysqli->prepare( "INSERT INTO table ( column1, column2 ) VALUES (?,?)" );

$stmt->bind_param( "is", $integer, $string );

$stmt->execute();

    Peu importe si vous utilisez les instructions préparées ou mysqli_real_escape_string, vous avez toujours de connaître le type de données d'entrée que vous utilisez.

    Donc si vous utilisez une instruction préparée, vous devez spécifier les types des variables pour mysqli_stmt_bind_param fonction.

    Et l'utilisation de mysqli_real_escape_string est pour, comme son nom l'indique, l'échappement des caractères spéciaux dans une chaîne de caractères, de sorte qu'il ne sera pas faire des entiers coffre-fort. Le but de cette fonction est d'empêcher la rupture des cordes dans les instructions SQL, et les dommages causés à la base de données qu'il pouvait provoquer. mysqli_real_escape_string est une fonction utile lorsqu'il est utilisé correctement, surtout lorsqu'il est combiné avec sprintf.

    Exemple:

    $string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';

$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );

echo $query;
//SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5

$integer = '99999999999999999999';
$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );

echo $query;
//SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647
    • La question est très générique. Quelques grandes réponses ci-dessus, mais la plupart des experts suggèrent déclarations préparées à l'avance. MySQLi async ne prend pas en charge les requêtes préparées, le sprintf ressemble à une excellente option pour cette situation.
    InformationsquelleAutor
  20. 180

    La simple alternative à ce problème pourrait être résolu par l'octroi des autorisations appropriées dans la base de données elle-même.
    Par exemple: si vous utilisez une base de données MySQL puis entrez dans la base de données par le biais du terminal ou de l'INTERFACE utilisateur fournie et il suffit de suivre cette commande:

     GRANT SELECT, INSERT, DELETE ON database TO username@'localhost' IDENTIFIED BY 'password';

    Cela permettra de limiter l'utilisateur à obtenir enfermé avec la requête spécifiée uniquement. Supprimer l'autorisation de supprimer et de sorte que les données ne seraient jamais être supprimés de la requête tiré à partir de la page PHP.
    La deuxième chose à faire est de rincer les privilèges de sorte que le MySQL actualise les autorisations et les mises à jour.

    FLUSH PRIVILEGES;

    plus d'informations sur rincer.

    Pour voir les privilèges de l'utilisateur de feu, la requête suivante.

    select * from mysql.user where User='username';

    En savoir plus sur SUBVENTION.

    • Cette réponse est essentiellement mauvais, comme il ne l'aide pas à éviter une injection de prévention, mais juste essayer d'atténuer les conséquences. En vain.
    • Le droit, il ne fournit pas une solution, mais est-ce que vous pouvez faire avant de la main pour éviter les choses.
    • Si mon but est de lire des informations privées à partir de votre base de données, puis de ne pas avoir l'autorisation de SUPPRIMER ne veut rien dire.
    • Take it easy, je viens de faire une liste des bonnes pratiques pour adoucir les conséquences.
    • Vous ne voulez pas pour "adoucir les conséquences", vous voulez faire tout son possible pour s'en protéger. Pour être juste, cependant, le réglage de l'accès de l'utilisateur est important, mais pas vraiment ce que l'OP est de demander.
    • Utilisateur1: insert, update, Utilisateur2: Sélectionne, User3: Supprimer. Compliqué à entretenir et peuvent avoir d'impact sur les performances de trois utilisateurs qui se connectent, mais serait certainement de verrouillage vers le bas ce qui peut être fait dans une situation donnée. L'utilisateur 1 ne peux pas supprimer ou de lire, mais l'ajout d'une colonne "supprimer", vous pouvez les mettre à jour lorsque vous besoin de quelque chose de supprimer, Ne supprime à partir d'une tâche cron à l'aide de User3 la vérification de votre drapeau. Point im faire, si une insertion/mise à jour d'informations sensibles ne peut pas être tiré, si une sélection est faite d'une suppression ou d'écriture/mise à jour ne peut pas être une etc. Ne pas éliminer tous les problèmes mais il devrait aider?
    • vous vous trompez, il ne rien faire, sauf supplémentaires bout à bout de la douleur. Pour un exemple, nous avons requête select id, name from dropdown_table where status = '$YOUR_STATUS_VARIABLE$'; Maintenant, passer 1' union all select id, email from users -- que $YOUR_STATUS_VARIABLE$ et vous verrez comment il fonctionne.
    • Je n'ai pas prétendre qu'il n'en résout tous les problèmes, c'est une question de codage correctement, mais un utilisateur de sélectionner uniquement cant mettre à jour ou supprimer un utilisateur avec uniquement la mise à jour cant sélectionnez supprimer etc. Et comme je l'ai dit la suppression pourrait être fait via une tâche cron marquer les lignes de la suppression et de suppression sur la prochaine cron exécuter. Sera-ce d'éliminer toutes les attaques, absolument pas. mais il va rendre la vie difficile pour les attaquants.

    InformationsquelleAutor
  21. 170

    Avertissement de sécurité: Cette réponse n'est pas en ligne avec les meilleures pratiques de sécurité. L'échappement est insuffisante pour prévenir l'injection SQL, utilisez préparées à la place. Utiliser la stratégie décrite ci-dessous à vos propres risques. (Aussi, mysql_real_escape_string() a été supprimé en PHP 7.)

    Obsolète Avertissement: L'extension mysql est obsolète en ce moment. nous vous recommandons d'utiliser le extension PDO

    J'utilise trois différentes façons de prévenir mon application web d'être vulnérable à une injection SQL.

    1. Utilisation de mysql_real_escape_string(), qui est un pré-définis en fonction PHP, et ce code d'ajouter des barres obliques inverses pour les caractères suivants: \x00, \n, \r, \, ', " et \x1a. Transmettre les valeurs d'entrée en tant que paramètres pour minimiser le risque d'injection SQL.
    2. La façon la plus avancée est d'utiliser Pdo.

    J'espère que cela va vous aider.

    Considérons la requête suivante:

    $iId = mysql_real_escape_string("1 OR 1=1");
    $sSql = "SELECT * FROM table WHERE id = $iId";

    mysql_real_escape_string() ne protège pas ici. Si vous utilisez des guillemets simples (' ') autour de vos variables à l'intérieur de votre requête est ce qui vous protège contre ce. Voici une solution ci-dessous pour ceci:

    $iId = (int) mysql_real_escape_string("1 OR 1=1");
    $sSql = "SELECT * FROM table WHERE id = $iId";

    Ce question a quelques bonnes réponses à ce sujet.

    Je suggère, en utilisant PDO est la meilleure option.

    Edit:

    mysql_real_escape_string() est obsolète depuis PHP 5.5.0. Utiliser mysqli ou PDO.

    Une alternative à mysql_real_escape_string() est 

    string mysqli_real_escape_string ( mysqli $link , string $escapestr )

    Exemple:

    $iId = $mysqli->real_escape_string("1 OR 1=1");
$mysqli->query("SELECT * FROM table WHERE id = $iId");
    InformationsquelleAutor
  22. 169

    Concernant beaucoup de réponses utiles, je l'espère, pour ajouter des valeurs à ce fil.
    L'injection SQL est une attaque qui peut être fait à travers l'utilisation d'intrants (Inputs qui rempli par l'utilisateur, puis utilisé à l'intérieur de requêtes), L'injection SQL modèles sont corriger la syntaxe de la requête, alors que nous pouvons appeler: mauvais requêtes pour de mauvaises raisons, nous supposons qu'il existe peut-être une mauvaise personne que d'essayer d'obtenir des informations secrètes (sans passer par le contrôle d'accès) qui affectent les trois principes de la sécurité (Confidentialité, Intégrité, Disponibilité).

    Maintenant, notre but est de prévenir les menaces de sécurité telles que les attaques par injection SQL, la question (Comment éviter les attaques par injection SQL à l'aide de PHP), soit plus réaliste, le filtrage de données ou de compensation des données d'entrée est le cas lors de l'utilisation par l'utilisateur des données d'entrée à l'intérieur de cette requête, à l'aide de PHP ou tout autre langage de programmation n'est pas le cas, ou comme recommandé par plus de personnes à utiliser les techniques modernes telles que la déclaration ou tout autre outils qui soutiennent actuellement l'injection SQL de prévention, de considérer que ces outils n'est plus disponible? Comment sécuriser votre application?

    Mon approche contre l'injection SQL est: l'effacement de l'utilisateur des données d'entrée avant de l'envoyer à la base de données (avant de l'utiliser à l'intérieur de la requête).

    Filtrage des données pour la Conversion dangereux de données de sécurité des données)
    Considérer que AOP et MySQLi pas disponibles, comment pouvez-vous sécuriser votre application? - Vous me forcer à les utiliser? Quelles sont les autres langues autres que PHP? Je préfère donner des idées, car il peut être utilisé pour la plus large de la frontière et pas seulement pour des langues spécifiques.

    1. Utilisateur SQL (en limitant les privilèges d'utilisateur): la plupart des communes les opérations SQL sont (SELECT, UPDATE, INSERT), alors, pourquoi donner à JOUR privilège à un utilisateur qui en a pas besoin? Par exemple de connexion, et les pages de recherche sont uniquement à l'aide de SELECT, alors, pourquoi à l'aide de DB utilisateurs dans ces pages avec des privilèges élevés?
      RÈGLE: ne pas créer un utilisateur de base de données pour tous les privilèges, pour toutes les opérations SQL, vous pouvez créer votre régime comme (deluser, selectuser, updateuser) que les noms d'utilisateur pour l'usage facile.

    voir Principe du moindre privilège

    1. Filtrage des données: avant de construire la requête saisie de l'utilisateur doit être validé et filtrée, pour les programmeurs, il est important de définir quelques propriétés pour chaque utilisateur les variables d'entrée:
      type de données, le modèle de données, et les données de longueur. un champ est un nombre entre (x et y) doit être exactement validé à l'aide de règle précise, pour un champ est une chaîne de caractères (texte): le motif est le cas, par exemple, le nom d'utilisateur doit contenir seulement certains caractères permet de dire que [a-zA-Z0-9_-.] la longueur varie entre (x et n) où x et n (entiers, x <=n ).
      Règle: la création exacte des filtres et des règles de validation sont les meilleures pratiques pour moi.

    2. Utiliser d'autres outils: Ici, je vais également d'accord avec vous que l'instruction préparée (paramétrées requête) et les procédures Stockées, les inconvénients ici est de ces moyens nécessite des compétences qui n'existent pas pour la plupart des utilisateurs, l'idée de base ici est de faire la distinction entre les requêtes SQL et les données qui sont utilisées à l'intérieur, les deux approches peuvent être utilisées, même à l'insécurité des données, car l'utilisateur-données d'entrée ici de ne pas ajouter quoi que ce soit à la requête d'origine tels que (tout ou x=x).
      Pour plus d'informations, veuillez lire OWASP SQL Injection de Prévention de la Feuille de Triche.

    Maintenant, si vous êtes un utilisateur avancé, de commencer à utiliser ce moyen de défense que vous voulez, mais, pour les débutants, s'ils ne peuvent pas mettre en œuvre rapidement la procédure stockée et prépare la déclaration, il est préférable de filtrer les données d'entrée autant qu'ils le peuvent.

    Enfin, considérons que l'utilisateur envoie ce texte ci-dessous au lieu d'entrer son nom d'utilisateur:

    [1] UNION SELECT IF(SUBSTRING(Password,1,1)='2',BENCHMARK(100000,SHA1(1)),0) User,Password FROM mysql.user WHERE User = 'root'

    Cette entrée peut être vérifié en début sans aucune déclaration préparée à l'avance et les procédures stockées, mais pour être sur le côté sûr, leur utilisation commence lorsque l'utilisateur-données de filtrage et de validation.

    Le dernier point est de détecter un comportement inattendu qui nécessite plus d'effort et de la complexité; elle n'est pas recommandée pour la majorité des applications web.
    Un comportement inattendu dans au-dessus de la saisie de l'utilisateur est de SÉLECTIONNER, de l'UNION, SI, SUBSTRING, l'indice de RÉFÉRENCE, SHA, racine une fois ces mots détectés, vous pouvez éviter l'entrée.

    UPDATE1:

    Un utilisateur a fait observer que ce post est inutile, OK! Voici ce que OWASP.ORG fournis:

    Défense principale: le

    Option #1: Utilisation des requêtes Préparées (Requêtes Paramétrées)

    Option #2: Utilisation de Procédures Stockées

    Option #3: Échapper à tout Utilisateur d'Entrée Fourni

    Supplémentaires défenses:

    Appliquer: Moins De Privilège

    Également Effectuer: Blanc Entrée De La Liste De Validation

    Comme vous le savez peut-être, revendiquant un article doit être pris en charge par un argument valide, au moins une référence! Sinon, c'est considéré comme une attaque, mauvaise revendication!

    Update2:

    Du manuel PHP, PHP: Préparé États - Manuel:

    L'évasion et de l'injection SQL

    Variables liées à la sera remplacé automatiquement par le serveur. L'
    serveur insère leurs échappé à des valeurs, à des endroits appropriés dans les
    modèle de déclaration avant l'exécution. Un indicateur doit être fourni à la
    serveur pour le type de variable liée, pour créer une
    la conversion. Voir la mysqli_stmt_bind_param() la fonction pour plus d'
    de l'information.

    Automatique s'échapper de valeurs au sein du serveur est parfois
    considéré comme un élément de sécurité afin de prévenir l'injection SQL. Le même
    degré de sécurité peut être réalisé avec des non-déclarations préparées à l'avance si
    les valeurs d'entrée sont échappés correctement.

    Update3:

    J'ai créé des cas de test pour savoir comment PDO et MySQLi envoyer la requête au serveur MySQL lors de l'utilisation de l'instruction préparée:

    PDO:

    $user = "''1''"; //Malicious keyword
$sql = 'SELECT * FROM awa_user WHERE userame =:username';
$sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(':username' => $user));

    Journal De La Requête:

        189 Query SELECT * FROM awa_user WHERE userame ='\'\'1\'\''
    189 Quit

    MySQLi:

    $stmt = $mysqli->prepare("SELECT * FROM awa_user WHERE username =?")) {
$stmt->bind_param("s", $user);
$user = "''1''";
$stmt->execute();

    Journal De La Requête:

        188 Prepare   SELECT * FROM awa_user WHERE username =?
    188 Execute   SELECT * FROM awa_user WHERE username ='\'\'1\'\''
    188 Quit

    Il est clair qu'une instruction préparée est également échapper aux données, rien d'autre.

    Comme mentionné dans la déclaration ci-dessus The automatic escaping of values within the server is sometimes considered a security feature to prevent SQL injection. The same degree of security can be achieved with non-prepared statements, if input values are escaped correctly, donc, cela prouve que la validation des données telles que intval() est une bonne idée pour les valeurs entières avant d'envoyer une requête, en outre, de prévenir l'utilisateur malveillant de données avant l'envoi de la requête est correct et valide l'approche.

    Reportez-vous à cette question pour plus de détails: AOP envoie raw requête à MySQL alors que Mysqli envoie requête préparée, à la fois de produire le même résultat

    Références:

    1. SQL Injection Feuille de Triche
    2. L'Injection SQL
    3. La sécurité de l'Information
    4. Les Principes De La Sécurité
    5. La validation des données
    InformationsquelleAutor
  23. 167

    Un moyen simple serait d'utiliser un framework PHP comme CodeIgniter ou Laravel qui ont intégré des fonctionnalités comme le filtrage et la vie active, enregistrement de sorte que vous n'avez pas à vous soucier de ces nuances.

    • Je pense que le point de l'ensemble de la question est de le faire sans l'aide d'un tel cadre.
    InformationsquelleAutor
  24. 140

    * * * * Avertissement: l'approche décrite dans cette réponse s'applique uniquement aux scénarios très précis, et n'est pas sécurisé car les attaques par injection SQL ne reposent pas seulement sur le fait d'être en mesure d'injecter X=Y.**

    Si les attaquants tentent de pirater le formulaire via PHP $_GET variable ou avec l'adresse URL de la chaîne de requête, vous serez en mesure de les rattraper si ils ne sont pas sécurisés.

    RewriteCond %{QUERY_STRING} ([0-9]+)=([0-9]+)
RewriteRule ^(.*) ^/track.php

    Parce que 1=1, 2=2, 1=2, 2=1, 1+1=2, etc... sont les questions les plus courantes à une base de données SQL d'un attaquant. Peut-être aussi qu'il est utilisé par beaucoup de piratage des applications.

    Mais vous devez être prudent que vous ne devez pas réécrire un coffre-fort requête à partir de votre site. Le code ci-dessus vous donne une astuce, à réécrire ou de redirection (cela dépend de vous) que le piratage spécifique à la dynamique de la chaîne de requête dans une page qui va stocker l'attaquant Adresse IP, ou MÊME les COOKIES, l'historique du navigateur, ou toute autre information sensible, de sorte que vous pouvez traiter avec eux plus tard par l'interdiction de leur compte ou de contact avec les autorités.

    InformationsquelleAutor
  25. 127

    Il ya tellement de nombreuses réponses PHP et MySQL, mais ici, c'est le code pour PHP et Oracle pour prévenir l'injection SQL ainsi que l'utilisation régulière de oci8 pilotes:

    $conn = oci_connect($username, $password, $connection_string);
$stmt = oci_parse($conn, 'UPDATE table SET field = :xx WHERE ID = 123');
oci_bind_by_name($stmt, ':xx', $fieldval);
oci_execute($stmt);
    • Veuillez expliquer oci_bind_by_name paramètres.
    InformationsquelleAutor
  26. 123

    Une bonne idée est d'utiliser un 'object-relational mapper' comme Idiorm:

    $user = ORM::for_table('user')
->where_equal('username', 'j4mie')
->find_one();

$user->first_name = 'Jamie';
$user->save();

$tweets = ORM::for_table('tweet')
    ->select('tweet.*')
    ->join('user', array(
        'user.id', '=', 'tweet.user_id'
    ))
    ->where_equal('user.username', 'j4mie')
    ->find_many();

foreach ($tweets as $tweet) {
    echo $tweet->text;
}

    Il n'économise pas seulement à partir des injections SQL, mais à partir des erreurs de syntaxe trop! Prend également en charge des collections de modèles avec chaînage de méthode à filtre ou d'appliquer des mesures de résultats multiples à la fois et les connexions multiples.

    InformationsquelleAutor
  27. 120

    Obsolète Avertissement:
    Cette réponse est un exemple de code (comme la question de l'exemple de code) utilise PHP MySQL extension, qui a été dépréciée en PHP 5.5.0 et enlevé entièrement en PHP 7.0.0.

    Avertissement de sécurité: Cette réponse n'est pas en ligne avec les meilleures pratiques de sécurité. L'échappement est insuffisante pour prévenir l'injection SQL, utilisez préparées à la place. Utiliser la stratégie décrite ci-dessous à vos propres risques. (Aussi, mysql_real_escape_string() a été supprimé en PHP 7.)

    À l'aide de AOP et MYSQLi est une bonne pratique pour éviter des injections SQL, mais si vous voulez vraiment travailler avec les fonctions de MySQL et des requêtes, il serait préférable d'utiliser

    mysql_real_escape_string

    $unsafe_variable = mysql_real_escape_string($_POST['user_input']);

    Il y a plus de capacités pour empêcher cela: comme les identifier - si l'entrée est une chaîne de caractères, nombre, char ou un tableau, il y en a tellement intégré les fonctions permettant de détecter cette. Aussi, il serait préférable d'utiliser ces fonctions pour vérifier les données d'entrée.

    is_string

    $unsafe_variable = (is_string($_POST['user_input']) ? $_POST['user_input'] : '');

    is_numeric

    $unsafe_variable = (is_numeric($_POST['user_input']) ? $_POST['user_input'] : '');

    Et c'est tant mieux pour utiliser ces fonctions pour vérifier les données d'entrée avec mysql_real_escape_string.

    • Aussi, il n'y a absolument aucun point en vérifiant $_POST les membres du groupe avec is_string()
    • ATTENTION! mysql_real_escape_string() n'est pas infaillible.
    • mysql_real_escape_string est maintenant obsolète, de sorte que sa n'est plus une option viable. Il sera supprimé à partir de PHP dans le futur. De son mieux pour se déplacer sur ce que le PHP ou MySQL gens recommander.
    • Thème: Ne pas faire confiance à l'utilisateur des données soumises. Tout ce que vous attendez c'est une poubelle de données avec des caractères spéciaux ou de la logique booléenne, qui doit elle-même devenir une partie de la requête SQL que vous avez peut-être en cours d'exécution. Gardez $_POST valeurs données uniquement, pas SQL partie.
    InformationsquelleAutor
  28. 86

    J'ai écrit cette petite fonction il y a plusieurs années:

    function sqlvprintf($query, $args)
{
    global $DB_LINK;
    $ctr = 0;
    ensureConnection(); //Connect to database if not connected already.
    $values = array();
    foreach ($args as $value)
    {
        if (is_string($value))
        {
            $value = "'" . mysqli_real_escape_string($DB_LINK, $value) . "'";
        }
        else if (is_null($value))
        {
            $value = 'NULL';
        }
        else if (!is_int($value) && !is_float($value))
        {
            die('Only numeric, string, array and NULL arguments allowed in a query. Argument '.($ctr+1).' is not a basic type, it\'s type is '. gettype($value). '.');
        }
        $values[] = $value;
        $ctr++;
    }
    $query = preg_replace_callback(
        '/{(\\d+)}/', 
        function($match) use ($values)
        {
            if (isset($values[$match[1]]))
            {
                return $values[$match[1]];
            }
            else
            {
                return $match[0];
            }
        },
        $query
    );
    return $query;
}

function runEscapedQuery($preparedQuery /*, ...*/)
{
    $params = array_slice(func_get_args(), 1);
    $results = runQuery(sqlvprintf($preparedQuery, $params)); //Run query and fetch results.   
    return $results;
}

    Cela permet l'exécution des instructions dans un one-liner C#-ish Chaîne.Format:

    runEscapedQuery("INSERT INTO Whatever (id, foo, bar) VALUES ({0}, {1}, {2})", $numericVar, $stringVar1, $stringVar2);

    Il s'échappe en considérant le type de variable. Si vous essayez de paramétrer la table, la colonne des noms, il ne pourrait pas parce qu'elle met chaque chaîne de caractères entre guillemets, qui est une syntaxe non valide.

    Mise à JOUR de SÉCURITÉ: La précédente str_replace version autorisée injections en ajoutant {#} jetons dans les données de l'utilisateur. Cette preg_replace_callback version n'a pas de problème si le remplacement contient ces jetons.

    InformationsquelleAutor