SQL Инъекция авторизации?

Question

[andry33822]

Доброе утро,
Ночью столкнулся с уязвимостью SQL injection,
При вводе в форму логина text' OR 1=1 # ///
Меня авторизирует без каких либо проблем, подскажите как мне пофиксить данную проблему, как меры предпринять?

<?php
    session_start();
    include('inc/cfg.php');
    if (isset($_POST['login'])) {
        $username = $_POST['username'];
        $password = $_POST['password'];
        $query = $dbh->prepare("SELECT * FROM users WHERE username=:username");
        $query->bindParam("username", $username, PDO::PARAM_STR);
        $query->execute();
        $result = $query->fetch(PDO::FETCH_ASSOC);        
        if (!$result) {
            echo '<p class="error">Неверные пароль или имя пользователя!</p>';
        } else {
            if (password_verify($password, $result['password'])) {
                $_SESSION["username"] = $_POST["username"];  
                            echo '<p class="success">Поздравляем, вы прошли авторизацию!</p>';
            } else {
                echo '<p class="error">неверный пароль </p>';
            }
        }
    }
?>

Comments

[Николай]

у вас используются подготовленные выражения, в данном коде SQL инъекция невозможна. Вас сломали где-то в другом месте

[andry33822]

Николай, Я тоже об этом думал. Но на других страницах используется лишь сессия

Answer 1

[Алексей Уколов]

Даже если представить, что ваше подготовленное выражение пропускает инъекцию (это не так), то вас не может "авторизовывать без каких-либо проблем", потому что запросом вы проверяете наличие логина в БД и получаете оттуда хэш пароля. Чтобы успешно авторизоваться вы должны ещё правильно ввести пароль пользователя, который с этой "инъекцией" выбирается первым. И в этом случае инъекция сводится к "узнать логин первого пользователя в таблице", что, согласитесь, неприятно, но не сильно значительно, если у пользователя при этом сложный пароль, который долго брутить.

Ваша проблема в каком-то другом коде.

Answer 2

[andry33822]

Действительно. Проблема была не в авторизации,
Если пользователь ранее входил в аккаунт. и выполнил sql injection то его пропустит, что тоже странно, так как сессия удаляется после выхода с аккаунта:

session_start();
unset($_SESSION['username']);
session_destroy();
header('Location: index.php');
?>

Comments

[Алексей Уколов]

Я вас уверяю, "инъекция" тут совершенно ни при чём, потому что её в приведённом коде нет.

Замечание: Нет необходимости вызывать session_destroy() в обычном коде. Очищайте массив $_SESSION вместо удаления данных сессии.

Чтобы полностью удалить сессию, также необходимо удалить и её идентификатор. Если для передачи идентификатора сессии используются cookie (поведение по умолчанию), то сессионные cookie также должны быть удалены. Для этого можно использовать setcookie().

https://www.php.net/manual/ru/function.session-des...

[andry33822]

Алексей Уколов, Все, решил проблему, спасибо Алексей за помощь)!

Answer 3

[VadimFox]

• "Подготовленные запросы"
  
• Использовать соответствующие методы фреймворка (но видимо вы его не используете):
  
  1. Yii
     
  2. symfony
     
  
  
• ORM фреймворки
  

P.S. Пробежался еще раз по коду и могу сказать что солидарен с Алексей Уколов, смотрите дальше, проверяйте все точки взаимодействия с сессией