Нужна помощь понимание MySQL инъекции

Question

От http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php я получил:

SQL инъекция относится к акту кого-то вставляя заявление MySQL к будет работать на вашей базе данных без вашего знаний. Инъекция обычно возникает , когда вы запрашиваете у пользователя ввод, например , их имя, а вместо имени они дают вам заявление MySQL, которое вы будет бессознательно работать в вашей базе данных.

Я прочитал всю статью, но у меня все еще есть некоторые основные проблемы, которые понимают, что это такое и как это можно сделать.

В первом примере, что они на самом деле видят?

Насколько я понял, если я на самом деле эхо $ name, вы увидите все имена, потому что он всегда будет «правдой», я прав?

Другая вещь, которую я не понимаю, заключается в том, решена ли проблема с MySQL-загрузкой с помощью mysql_real_escape_string(), там должно быть больше.

Что я действительно не понимаю, так это то, что mysql_real_escape_string() создан для решения этой проблемы, почему это не делается автоматически, я имею в виду, есть ли причина, по которой вам приходится добавлять каждый раз mysql_real_escape_string(), есть случаи когда вы должны использовать его, и поэтому они не делают это автоматически?

Answer 1

MySQL не выйдет автоматически, потому что вы сами создаете строку запроса.Например:

$query = 'SELECT * FROM users WHERE name="' . $name . '"'; 

Вы просто передаете необработанную строку, хранящуюся в $ query, который открыт для SQL-инъекции. Например, если $ имя [что-то «ИЛИ» 1 = 1] строка запроса заканчивается существо:

$query = 'SELECT * FROM users WHERE name="something" OR "1=1" 

Что бы вернуть каждый пользователь из таблицы пользователя. Вот почему вам нужно избегать значений. Однако, если вы используете PDO, это делается для вас, если вы используете функциональность привязки. Это двухэтапный процесс, подготовка запроса, а затем «привязка» данных/переменных к заполнителям. В PDO ваша строка запроса будет выглядеть примерно так:

$query = 'SELECT * FROM users WHERE name=":name"'; 
$bindings = array('name'=>'something'); 
prepare($query); 
execute($bindings); 

Затем все автоматически исчезает для вас.

Answer 2

Bobby Tables имеет большое представление о том, как работает SQL-инъекция. Много пользы - примеры, которые он дает на нескольких языках (C#, Java, Perl, PHP и т. Д.)

В случае PHP очень многое зависит от того, как вы обращаетесь к базе данных. Вы могли бы воспользоваться использованием уровня извлечения базы данных, такого как ADODB, который параметризует запросы.

Answer 3

Насколько я знаю, при создании веб-сайтов вы всегда должны предполагать, что конечный пользователь является грязной вонючей угрозой, которая хочет сломать ваши вещи. поэтому вы всегда должны чистить свои строки mysql_real_escape_string();, htmlentities(); и другие. код может быть введен в ваши данные формы, которые могут выйти из того, что он делает, вставить новый код, а затем полностью контролировать вашу базу данных и, возможно, ваши файловые структуры в зависимости от того, к чему у нее имеется доступ. это означает, что таблицы, значения, пароли и вся ваша база данных могут быть уничтожены или изменены.

Есть случаи, когда вы можете захотеть ввести код самостоятельно, например, если вы хотите создать пользовательский интерфейс, который может вводить код в вашу базу данных. (ala phpMyAdmin). возможно, было бы лучше, если бы он автоматически убежал от кода каким-то образом, а затем уклонился от него, если вы этого захотите. Может быть, что-то должно обсуждаться с создателями PHP/mySQL?

Это столько, сколько я знаю. Я надеюсь, что кто-то еще может дать вам больше понимания, чем это. Просто не забудьте всегда очищать возвращаемые значения от форм и ввода пользователя.

Answer 4

В первом примере на ссылке Tizag запрос выглядит так, как ожидается автор сценария для получения не более одной строки. Поэтому, учитывая, что каждая строка будет получена, наиболее вероятный результат, вероятно, будет отражен в информации для первой строки; поскольку в запросе подделанного запроса нет предложения ORDER BY, это может быть пользователь, хранящийся сначала в таблице, но, конечно, порядок не определен в SQL, когда отсутствует предложение ORDER BY, так что кто может сказать.Вы можете сказать, что до тех пор, пока таблица не будет пустой, она будет получать сведения о действительном пользователе.

Я не уверен, что вы подразумеваете под «if I echo $name»; переменной $name присваивается значение "timmy" в коде. Значит, они увидели бы timmy. Если вы имеете в виду, если бы вы попытались эхо получить информацию пользователя, полученную по запросу, что бы они увидели - ну, это зависит от кода, который вы используете. Если вы зацикливаетесь на наборе результатов, и они использовали SQL-инъекцию для извлечения строк, которые вы не ожидали от их получения, тогда они, вероятно, будут видеть все строки, включая строки, которые вы им не собирались видеть. Если ваш код просто извлекает и воздействует на информацию из одной строки, то они все равно будут видеть одну строку, хотя снова это может быть строка, которую вы не имели в виду, чтобы они могли достичь.

Что касается того, почему функциональность, предлагаемая mysql_real_escape_string(), не является автоматической, то это потому, что для ее автоматического использования на компьютере, который сможет работать с вашим кодом SQL, что вы намеревались делать, а не просто делать то, что вы сказал, чтобы сделать. Это и сложно, и откровенно нежелательно, потому что никто не хочет, чтобы компьютер угадал, что они хотят делать (особенно программисты).

Если вы хотите уйти от использования mysql_real_escape_string() и т. П., Вам может потребоваться использовать параметризованные запросы, которые позволят вам немного приблизиться к подходу. Вы все равно должны дать понять компьютеру, какие части вашего запроса представляют собой переменные, которые вы хотите избежать, хотя, потому что это просто неотъемлемая часть общения с компьютером, что вы хотите.

Answer 5

Вы в верном правиле, человек, который ввел «плохое» имя, разрешил изменять запрос базы данных, который вы выполняете, и в этом случае они изменили его, чтобы показать все строки в Таблица.

Насколько можно легко предотвращать использование подпрограммы с помощью специальных символов, вам необходимо понять, что строка (или любые данные) может быть понята на разных уровнях. Когда вы принимаете ввод пользователя и затем используете его для создания запроса к базе данных, вы хотите, чтобы сервер базы данных интерпретировал строку как данные. Однако единственная причина, по которой сервер баз данных делает это, заключается в том, что вы используете специальные символы, такие как одиночная кавычка, поэтому он знает, что знает, где начинается и заканчивается строка. Escape Characters, сообщая серверу базы данных (или любой другой системе, которая их интерпретирует), чтобы не интерпретировать специальные символы как специальные символы, а интерпретировать их как данные, как и остальную часть строки. Таким образом, если один из этих специальных символов находится в вашей строке, специальная функция будет просто проигнорирована.

Что касается того, почему это не делается автоматически? Сервер базы данных не может знать, какие данные можно доверять и какие данные не могут. Только программист знает, что, если им повезло! И вы не можете просто делать это по всем данным, потому что эти специальные символы (например, одна цитата) существуют по какой-то причине - они передают смысл серверу базы данных - если вы избегаете всех из них, тогда нет способа передать их значение. Это действительно фундаментальная концепция в информатике - чтобы одна и та же информация могла интерпретироваться на разных уровнях системы, и система могла использовать специальные шаблоны данных в этой информации, чтобы обозначать, когда данные должны интерпретироваться на другом уровне.

Возможно, вам будет полезно ознакомиться с концепцией слоев абстракции для более фундаментального понимания.

Удачи вам!

Answer 6

При обсуждении SQL-инъекции наиболее распространенным примером является «foo» ИЛИ 1 = 1 »удаление всей таблицы или выявление паролей. Эти инъекции могут быть сорваны, избегая строк.

Однако есть гораздо более простые инъекции, где mysql_real_escape_string() недействителен. Например, скажем, у вас есть страница, на которой пользователь может удалить выбранные записи из вашей базы данных. Общая реализация заключается в создании запроса для удаления записей на основе GET или POST переменных, например:

$row_to_delete = $_POST['id']; 
$query = "DELETE FROM table WHERE id=$row_to_delete"; 

Как вы можете видеть, пользователь может легко размещать любой «идентификатор» они хотят этот сценарий, потенциально удалить всю таблицу, даже если mysql_real_escape_string() выполняется в строке. Эту же уязвимость можно использовать до guess, который «id» принадлежит администратору и вмешивается со значениями повсюду. Насколько я знаю, единственной защитой является проверка всех параметров get и post со всех возможных уголков, о которых вы можете думать. В принципе, не просто выполните проверку формы - выполните проверку PARAMETER.

Вы будете удивлены, насколько легко позволить такой простой уязвимости проскальзывать в ваш код.

Answer 7

mysql_real_escape_string() функция используется главным образом экранировать кавычки, что приводит к базе данных error.You не может зависеть от этой функции, потому что санация я очень важно, особенно при вводе пользователем непосредственно query.You может передать этот сайт https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet