Возможна ли sql инъекция?

Question

Карлиндоу Мэрлифи @petushok55

Обучаюсь на практике.

Возможна ли sql инъекция?

$string = 'любой текст для проверки инъекции';
  $string = trim($string);
  $string = mysql_escape_string($string);
  $string = htmlspecialchars($string);
  mysql_query('INSERT INTO `test` (`inject`) VALUES ("'.$string .'")');

Лично я сам проверял по разному, но всё удачно вставляет, то есть без ошибок

Вопрос задан более года назад
872 просмотра

9 комментариев

Подписаться 1 Простой 9 комментариев

DevMan @DevMan

кто-то бесконечно застрял.

Написано более года назад
Everything_is_bad @Everything_is_bad

ну зачем надо делать свой кривой велосипед, вместо использования проверенных методов?

Написано более года назад
Rsa97 @Rsa97

Как оно там живётся, в нулевых годах? А у нас в двадцатых все уже давно перешли на подготовленные выражения с плейсхолдерами.

Написано более года назад
Михаил Ливач @Mausglov

если отвлечься от других комментариев ( авторы которых, безусловно, правы), то не очень разумно делать htmlspecialchars() после mysql_escape_string(). Если в этом и был какой-то смысл, то надо бы поменять вызовы местами.

Написано более года назад
Карлиндоу Мэрлифи @petushok55 Автор вопроса

Rsa97, мне просто нужно понять, возможно ли через этот конкретный пример провести sql инъекцию или нет.
Прошлое ворошу

Написано более года назад
Everything_is_bad @Everything_is_bad

Карлиндоу Мэрлифи, дык смысла даже нет, "закопайте стюардессу"

Написано более года назад
Adamos @Adamos

Михаил Ливач, htmlspecialchars рядом с SQL выполняет только одну функцию - сообщает изучающему код, что его писал ламер, не понимающий, что он делает и зачем. Независимо от того, до или после ;)

Написано более года назад
Виктор Кожухарь @vitiok78

Карлиндоу Мэрлифи, Вам тогда надо не сюда, а в древние форумы профессионалов по безопасности, где и обнаруживали проблемы.
У меня подход к безопасности следующий:
- Всегда брать сторонние проверенные решения. Там люди собаку съели на безопасности, не чета мне (и 90% программистам), занимающихся перекладыванием json или данных из форм в базу и обратно через тонкий слой элементарной логики.
- Если я где-то в проверенных источниках услышу, что решение небезопасно, я даже особо вдаваться в подробности не буду, просто прекращу этим пользоваться. Упрямство и завышенный ЧСВ программистов часто приводят к утечкам, о которых потом говорят в новостях.

Поэтому, тут вам и примеров-то никто не даёт, потому что все те, кто зарабатывают деньги при помощи написания кода, уже забыли много лет назад о mysql_escape_string и mysql_query)

Написано более года назад
Карлиндоу Мэрлифи @petushok55 Автор вопроса

Виктор Кожухарь, пожалуй ты прав

Написано более года назад

ну зачем надо делать свой кривой велосипед, вместо использования проверенных методов?
Как оно там живётся, в нулевых годах? А у нас в двадцатых все уже давно перешли на подготовленные выражения с плейсхолдерами.
если отвлечься от других комментариев ( авторы которых, безусловно, правы), то не очень разумно делать htmlspecialchars() после mysql_escape_string(). Если в этом и был какой-то смысл, то надо бы поменять вызовы местами.
Rsa97, мне просто нужно понять, возможно ли через этот конкретный пример провести sql инъекцию или нет.
Прошлое ворошу
Карлиндоу Мэрлифи, дык смысла даже нет, "закопайте стюардессу"
Михаил Ливач, htmlspecialchars рядом с SQL выполняет только одну функцию - сообщает изучающему код, что его писал ламер, не понимающий, что он делает и зачем. Независимо от того, до или после ;)
Карлиндоу Мэрлифи, Вам тогда надо не сюда, а в древние форумы профессионалов по безопасности, где и обнаруживали проблемы.
У меня подход к безопасности следующий:
- Всегда брать сторонние проверенные решения. Там люди собаку съели на безопасности, не чета мне (и 90% программистам), занимающихся перекладыванием json или данных из форм в базу и обратно через тонкий слой элементарной логики.
- Если я где-то в проверенных источниках услышу, что решение небезопасно, я даже особо вдаваться в подробности не буду, просто прекращу этим пользоваться. Упрямство и завышенный ЧСВ программистов часто приводят к утечкам, о которых потом говорят в новостях.

Поэтому, тут вам и примеров-то никто не даёт, потому что все те, кто зарабатывают деньги при помощи написания кода, уже забыли много лет назад о mysql_escape_string и mysql_query)

Answer 1 · 2024-02-04 22:07:15

почти наверняка будут глюки при использовании utf8 или любой другой мультибайтовой кодировки, и формировании строки с неправильной комбинацией символов, так как mysql_escape_string не будет их считать опасными (она вообще только для однобайтовых кодировок).

Чтобы воспользоваться уязвимостью нужно серьезно зарыться в исходники php или mysql и понимать как обрабатываются ими мультибайтовые кодировки.

Если ты вынужден поддерживать устаревший код, поставь в самом начале кода проверки на входящие параметры, по значению. Почти наверняка можно собрать под используемый язык пользователей простую функцию валидации, а лучше сразу конвертировать в мультибайтовую кодировку и в этот момент проводить все необходимые проверки.

Возможна ли sql инъекция?

Войдите на сайт