Экранирование sql запросов, достаточно ли функции?

Question

[okha22]

Всем хаю-хай =)

Ребят, созрел такой вопрос, относительно экранирования при выполнении sql запросов в БД, ниже предоставлю самописную функцию. Будет ли достаточно данной функции, для защиты от инъекции? Либо это все лажа перед подготовленными запросами?

function formatstr($str) 
{
	global $rows, $db;
    $str = trim($str);
    $str = stripslashes($str);
    $str = htmlspecialchars($str);
	$str = $db->real_escape_string($str);
    return $str;
}

Comments

[Дмитрий]

Это все не нужно. Достаточно начать использовать подготовленные выражения

[okha22]

Таки да, я использую данный самопис в своем проекте =)
Благо он (проект), ещё не запустился.
А есть подробный мануал об использовании подготовленных выражений для INSERT, SELECT, UPDATE?

P.S. И да, гугл у меня не сломан, работает, просто половина из поисковой выдачи - мусор, достойной статьи, где всё подробно расписано - единицы.

[Ипатьев]

okha22, https://habr.com/ru/articles/662523/

[Василий Банников]

Либо это все лажа перед подготовленными запросами?

this

Answer 1

[Ипатьев]

Эта функция не самописная, а цельнотянутая. Причем из самых смрадных помоек интернета.
К защите от инъекций не имеет вообще никакого отношения.

- trim() ни к инъекциям, ни к защите отношения не имеет
- stripslashes() просто бессмысленная функция, которая только портит данные
- htmlspecialchars() не имеет отношения к SQL. Применяется при выводе данных, а не при получении
- real_escape_string() - единственная функция, которая имеет отношение к SQL, но при этом вообще не предназначенная ни для каких защит.

Попробуйте на основании этой информации самостоятельно оценить полезность вашей функции.

Возьмем классический пример

$_GET['id'] = '1;DROP TABLE Students;';
$id = formatstr($_GET['id']);
$sql = "SELECT * FRPM Students WHERE id=$id";

И посмотрим, помогло ли ваше самописное экранирование предотвратить хоть что-то (спойлер: нет).
(да, та функция, которую лично вы используете для выполнения запросов, выполняет только один запрос за раз. И вместо инъекции вы получите ошибку. Но это не отменяет сам факт получения инъекции.)

Как правильно все отметили выше, для защиты от инъекций используются подготовленные запросы, в которых все переменные заменяются на специальные маркеры, и передаются отдельно.

Comments

[Александр Попов]

Ну вообще-то `real_escape_string()` как раз предназначена для экранирования строк в SQL запросах, что и относится к защите от инъекций. Должно помогать, возможно здесь не помогает потому, что параметр не заключён в одиночные кавычки.

ИМХО гораздо надёжнее для одиночных целочисленных параметров использовать (int) $_GET['id']. Сам всегда так делал и ни разу не получил проблем.

[Ипатьев]

Рука-лицо. Комментарий из серии "угадал все буквы, не угадал слово".

Answer 2

[Дмитрий]

https://youtube.com/watch?v=_xLkdtEvbWQ
https://youtube.com/watch?v=5s_4-S5Z0f0
https://youtube.com/watch?v=a8tEQmY3jZY
https://youtube.com/watch?v=crDvjTUvdi4
Все подробно, и какие атаки, и какие защиты

Comments

[okha22]

Ооо не, PDO - не моё, мне проще с mysqli драйвером работать. В будущем возможно и перейду на PDO

[Ипатьев]

okha22, а это ничего что между ними вообще никакой разницы нету?

[okha22]

Ипатьев, не правильно выразился. Мне такой стиль написания, как PDO не вкатывает)

[Ипатьев]

okha22, какой именно?

$row = $pdo->query("select * from users where id=1")->fetch();
$row = $mysqli->query("select * from users where id=1")->fetch_array();

Для вас эти отличия имеют прямо такое принципиальное значение?
Да вы просто принцесса на горошине :)

[Дмитрий]

okha22, смысл там такой же, и есть те же методы, правда в mysqli нет именнованных плэйсхолдеров, только ???

[Дмитрий]

okha22, правда недавно только в mysqli завезли вещи, без которых подготовленные выражения были болью. Так как надо было биндить все. Многие писали свои обёртки
https://github.com/Compolomus/Mysqli

[Ипатьев]

Дмитрий, так уже давно на РНР не пишут. Подавление ошибок, магия, непонятные типы возвращаемых значений.

Тем более, как вы правильно заметили, "недавно в mysqli завезли вещи", которые делают все это великолепие попросту ненужным.
Вместо

$result = $db->query($sql, $placeholders)->result(Wrapper::FETCHTOOBJECT);

просто пишем

$result = $mysqli->execute_query($sql, $placeholders)->fetch_object();

без всяких врапперов

[Дмитрий]

Ипатьев, там магия на плейсхоодерах и результат на магии, когда фетч или нет, я прост остарый быдлокод выкинул на гитхаб

Answer 3

[Adamos]

Самописные "защиты от инъекций" вследствие непонимания автором того, что он вообще делает, обычно убивают двух зайцев сразу.
И оставляют дыру в безопасности, и портят данные в базе.
Для реальной защиты подготовленного запроса, как правило, достаточно. Но если очень постараться, дырку можно проделать и в нем.