Если нарушитель может записать команду в поле таблицы SQL, означает ли это что он всегда сможет ее выполнить?

Question

[Вадим]

Есть обычная таблица базы, с полем скажем birth_place. На фронтэнде, как и на бэкэнде, в это поле можно зафигачить что угодно. Знаю, что это отсутствие валидации - это неправильно - но разве может это представлять какую-то опасность само по себе? Даже если там записано DELETE * from Table1? И если может, то как?

Comments

[Вадим]

Dr. Bacon, да я просто вот думаю, простая запись кода - может ли она потом облегчить его исполнение в базе ! Вроде нет...

Answer 1

[Slava Rozhnev]

В данном случае проблема JavaScript инъекции. Попробуйте вписать в базу бозобидное
<script>alert('WTF?!');</script>

SQL injection - ЭТО НЕ ВОЗМОЖНОСТЬ ЗАПИСАТЬ КОД В БАЗУ, А ВОЗМОЖНОСТЬ ИСПОЛНИТЬ КОД В БАЗЕ ДАННЫХ

Answer 2

[Jack444]

Чтобы от SQL инъекции защитится в строчных полях достаточно заменить одиночные ковычки на две одиночные ковычки.
Например тебе в поле вписали DELETE * from Table1
Не обработано это полетит в базу как 'DELETE * from Table1' код не выполнится.
Но если отправить так Moskow'; DELETE * from Table1;
То сначала выполнится insert а после delete, в лучшем случае вылетит ошибка.
Но если принудительно одну ковычку реплейсить на две одиночные ковычки то этот весь запрос как строка запишется и нечего не произойдет

Comments

[Slava Rozhnev]

Не пишите чушь! Ничего нигде реплейсить не нужно. Для записи в базу используются подготовленные выражения!

[Jack444]

Slava Rozhnev, подготовленные кем? в питоне например через форматирование строк если значение вставить то мой пример выполнится в базе

[Slava Rozhnev]

Jack444, ПОТОМУ ЧТО НЕЛЬЗЯ РАБОТАТЬ С БАЗОЙ ИСПОЛЬЗУЯ ФОРМАТИРОВАНИЕ СТРОК!
Следует использовать parameterized query

cursor.execute("SELECT FROM tablename WHERE fieldname = %s", [value])

И нельзя изменять введенные данные!

[Василий Банников]

в питоне например через форматирование строк если значение вставить то мой пример выполнится в базе

Чушь не пишите. Не нужно использовать форматированные строки.

[Jack444]

Slava Rozhnev, Василий Банников, Почему нельзя или не нужно? По мне так очень даже можно и нужно, например с pydantic приходят валидные данные, смысла нет повторную проверку типов делать и можно сразу через f'{}' вставить и строковые подреплейсить.
Сам код намного читабельнее становится, особенно если запрос большой строк на 50 минимум только SQL. либо когда sql код генерируется из разных функций тоже фстроки удобнее.
Когда требуется сделать insert сразу с тысячами строк одним запросом также форматирование удобнее.
В общем я просто написал базовый механизм защиты от инъекций а вы напали, всё можно, посмотрите на свои драйверы что они делают в такиих ситуациях? тоже самое!

[Вадим]

Slava Rozhnev, Василий Банников,

Хорошо, но в питоне сам SQL Alachemy может делать input sanitization, разве нет?

Slava Rozhnev,
Для записи в базу используются подготовленные выражения - имеете ввиду stored procedures - которым просто подаешь параметры?

[Василий Банников]

Вадим, под подготовленным запросами имеется в виду использовать запросы с параметрами, а не формировать его через конкатенацию или f.

По sqlalchemy ничего не знаю

[Василий Банников]

Jack444,

Сам код намного читабельнее становится

Мне кажется наоборот - с параметрами читабельнее, тк не нужно мысленно с одного языка на другой переключаться.
+ база данных лучше кэширует план
+ например если будешь использовать постгрес, то можно передать кучу параметров как массив и от этого запрос не разжиреет

Answer 3

[mayton2019]

Ты правильно тегировал тему с SQL-Injection. Но ее наличие надо доказать.
Например - взять и вставить какой-то код в ячейку и попробовать воспроизвести.
Одних страхов - недостаточно.

Comments

[Вадим]

я не знаю так sql, чтобы это сделать - я все-таки devops. SQL знаю только по простым запросам. Должны же быть какие-то критерии?

[mayton2019]

Вадим, найди любую бизнес-логику где пользователь что-то вводит в ячейку. И это "что-то" попадает в билдер запросов. И если это что-то никак не экранируется служебными эскейп-последовательностями - то поздравляю. Ты нашел уязвимость. Заводи critical issue. И тебе дадут бейджик. Или премию.