Jump to content
Sign in to follow this  
bLessFLA

Cum ma protejez de atacuri SQL Injection

Recommended Posts

1. Cum sa evitam SQL Injection (SQLi)

De obicei acesta este folosit in linkuri de genul: site.tld/script.php?id=1 , adaugand dupa 1 o continuare a comanezii SQL.

De exemplu:

Code: (Select All)

site.com/script.php?id=1

Acesta in cod arata cam asa:

Code: (Select All)

SELECT camp1,camp2 FROM tabel WHERE id=’1?

Insa, putem adauga ceva acelui id, ceea ce va continua comanda noastra SQL:

Code: (Select All)

site.com/script.php?id=1’OR+id%3D’3?

Asta, in codul SQL va arata asa:

Code: (Select All)

SELECT camp1,camp2 FROM tabel WHERE id=’1? OR id=’3?

Bineinteles, acest exemplu nu este daunator, dar daca “hackerul” foloseste DROP sau DELETE, poate iesi urat.

Cum se pot securiza acestea ? Simplu ! Aplicam stringului pe care il introducem in baza de date o functie, mysql_real_escape_string(), care inlocuieste toate caracterele care ar putea avea vreun efect asupra comenzii SQL.

De exemplu:

script.php

Code: (Select All)

$id = $_GET[‘id’];

$id = mysql_real_escape_string($id);

$query = “SELECT camp1,camp2 FROM tabel WHERE id='”. $id .”‘”;

Cel mai bine e sa luam toate datele in functie de ID (adica sa nu avem urluri gen useri.php?user=bogdan, ci useri.php?iduser=1) deoarece ID-uri, trebuie sa fie numere, lucru care se poate verifica foarte usor. Deci, datele le vom selecta dupa un anumit ID, care o sa fie numeric.

Astfel, scriptul devine simplu:

Code:

$id = $_GET[‘id’];

if(!is_numeric($id)){

echo ‘ID-ul nu est numeric. Incercare de hacking ?? Politia a fost anuntata';

}else{

//este indicat sa verificati intai daca acel ID se afla in baza de date. folositi mysql_num_rows, iar daca rezultatul este 0, id-ul nu exista in baza de date

//ceva de genul:

$query = mysql_query(“SELECT camp1,camp2 FROM tabel WHERE id='”. $id .”‘”);

if(mysql_num_rows($query)==0) { echo ‘ID-ul nu exista in baza de date. Anunt avocatul'; }else{

//totul e OK, id-ul e validat si exista in BD

}

}

In principiu, pentru a valida un GET folositi urmatoarele 3 functii, in functie de caz:

mysql_real_escape_string() – sau alternativa: addslashes()

is_numeric()

mysql_num_rows()

Share this post


Link to post
Share on other sites

Incomplet.

$id = $_GET[‘id’];

$id = mysql_real_escape_string($id);

$query = "SELECT camp1,camp2 FROM tabel WHERE id=". $id;

Vulnerabil cat casa.

PS: Exista prepared statements aka metoda eficienta de protejare.

Share this post


Link to post
Share on other sites
Exista PDO. Restul e futere si deprecated.

$query = $db->prepare("SELECT finger FROM hand WHERE fingerID = 3");

$query->execute();

$row = $query->fetch();

echo $row[0];

dinti.png

Edited by Reckon..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...