Защита от SQL инъекции - подмогните плз..

Йода · 02.11.2010, 15:27

Какие символы надо удалить из добавляемой в базу строки, чтобы инъекция не получилась?
Субд- mysql.

Как я понимаю- достаточно убрать точку с запятой и все виды кавычек.
Но я подозреваю, что я не доконца это понимаю)))

Собсно- подмогните плиз..

BIOHAZARD · 02.11.2010, 15:49

http://ru2.php.net/manual/en/functio...ape-string.php

ahsinis · 02.11.2010, 16:03

добавлю еще
http://ru2.php.net/manual/en/functio...ape-string.php

Йода · 02.11.2010, 16:25

Ага, за ссылки спасибо.
А без использования mysql_escape?

ahsinis · 02.11.2010, 17:11

нужно заэкранировать обрамляющие текст кавычки, но mysql_escape еще и всякие управляющие символы экранирует (переводы строк и т.д.)

Йода · 02.11.2010, 17:22

ahsinis, ясно. Спасибо!

Андрей Барыкин · 03.11.2010, 12:35

Йода, как вставляешь строку, надеюсь, как параметр, а не делаешь конкатенацию?
Вообще еще есть такой вид инъекции:
твой запрос + строка вида =
' UNION ALL
select ...
from таблица_где_хранятся_секретные данные'.

Объединение запроса. Там важно, чтобы совпадали кол-во и типы полей в обоих селектах. На практике таких инъекций не встречал, но и практики было мало.
В десктопных системах такое просто никто не допустит.
Так что, если совсем охота защититься, можно еще проверять на наличие UNION в строке.

Алексей Барыкин · 03.11.2010, 12:48

В общем случае надо экранировать кавычки и проверять типы параметров.
Т.е. если из параметров должен подставляться INT, то и надо проверять что это INT

На серче попадался чувачок который за 20$ бодро нашел кучу уязвимостей (в том числе и SQL инъекций) на одном моем сайте (самопис).
Контакты не помню.

ahsinis · 03.11.2010, 13:34

Ну вообще в данных формы приходят строковые значения, на тип сложновато проверить, если только по содержимому строки как-то попытаться.
Я лично привожу к нужному типу и потом уже проверяю полученные значения.

Atomic · 03.11.2010, 13:41

Цитата:

если только по содержимому строки как-то попытаться.

ctype

02.11.2010, 15:27	#1
Йода Магистр Регистрация: 04.12.2007 Сообщений: 3,680 Вес репутации: 417	Защита от SQL инъекции - подмогните плз.. Какие символы надо удалить из добавляемой в базу строки, чтобы инъекция не получилась? Субд- mysql. Как я понимаю- достаточно убрать точку с запятой и все виды кавычек. Но я подозреваю, что я не доконца это понимаю))) Собсно- подмогните плиз.. __________________ С уважением, Йода

02.11.2010, 15:49	#2
BIOHAZARD Специалист Регистрация: 25.06.2009 Адрес: Красноярск Сообщений: 443 Вес репутации: 202	http://ru2.php.net/manual/en/functio...ape-string.php __________________ Решил стать бессмертным. Пока получается. Не получается воткнуть код на сайт? Могу помочь. ася: 858-368. Рефералам бесплатно

02.11.2010, 16:25	#4
Йода Магистр Регистрация: 04.12.2007 Сообщений: 3,680 Вес репутации: 417	Ага, за ссылки спасибо. А без использования mysql_escape? __________________ С уважением, Йода

02.11.2010, 17:22	#6
Йода Магистр Регистрация: 04.12.2007 Сообщений: 3,680 Вес репутации: 417	ahsinis, ясно. Спасибо! __________________ С уважением, Йода

03.11.2010, 12:48	#8
Алексей Барыкин Хитрый жук Регистрация: 05.12.2007 Адрес: Конаково Сообщений: 2,987 Вес репутации: 390	В общем случае надо экранировать кавычки и проверять типы параметров. Т.е. если из параметров должен подставляться INT, то и надо проверять что это INT На серче попадался чувачок который за 20$ бодро нашел кучу уязвимостей (в том числе и SQL инъекций) на одном моем сайте (самопис). Контакты не помню. __________________ taurion.ru \| adminbook.ru \| indesignbook.ru

02.11.2010, 16:03	#3
ahsinis Мастер Регистрация: 17.03.2008 Сообщений: 638 Вес репутации: 237	добавлю еще http://ru2.php.net/manual/en/functio...ape-string.php

02.11.2010, 17:11	#5
ahsinis Мастер Регистрация: 17.03.2008 Сообщений: 638 Вес репутации: 237	нужно заэкранировать обрамляющие текст кавычки, но mysql_escape еще и всякие управляющие символы экранирует (переводы строк и т.д.)

03.11.2010, 12:35	#7
Андрей Барыкин Специалист Регистрация: 04.03.2009 Адрес: GOA Сообщений: 136 Вес репутации: 195	Йода, как вставляешь строку, надеюсь, как параметр, а не делаешь конкатенацию? Вообще еще есть такой вид инъекции: твой запрос + строка вида = ' UNION ALL select ... from таблица_где_хранятся_секретные данные'. Объединение запроса. Там важно, чтобы совпадали кол-во и типы полей в обоих селектах. На практике таких инъекций не встречал, но и практики было мало. В десктопных системах такое просто никто не допустит. Так что, если совсем охота защититься, можно еще проверять на наличие UNION в строке.

03.11.2010, 13:34	#9
ahsinis Мастер Регистрация: 17.03.2008 Сообщений: 638 Вес репутации: 237	Ну вообще в данных формы приходят строковые значения, на тип сложновато проверить, если только по содержимому строки как-то попытаться. Я лично привожу к нужному типу и потом уже проверяю полученные значения.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Защита КОНТЕНТА	lbm	Общие вопросы оптимизации	83	21.07.2011 17:49
Защита от АГС	vasir	Вопросы от новичков	12	11.10.2010 22:08
Подскажите по защите от sql-инъекции	Йода	Разработка и сопровождение сайтов	38	25.06.2010 12:17
Защита от дурака	wUUb	Пожелания пользователей системы	17	05.03.2010 23:19
Подмогните с голосами :)	NCom	Курилка	54	04.10.2009 01:54