Как сделать кастомный mysql запрос от пользователя?

Question

[SAPER0V]

Привет! Я хочу написать кастомную фукнцию, в которую будет попадать введённый запрос от пользователя, а функция в свою очередь будет проверять на разные подвохи, по типу инъекций и всего прочего.

Например, юзер вводит запрос в инпут : count > 1 AND Name = Dima OR name = Andrey , функция переводит этот вопрос в SELECT * FROM database WHERE count > 1 AND Name = Dima OR name = Andrey; Пытаясь убрать mysql инъекции.

Comments

[ThunderCat]

Как сделать кастомный mysql запрос от пользователя?

что значит кастомный? И чем отличается от не-кастомного?

Я хочу написать кастомную фукнцию

И в чем проблема?

[Ипатьев]

А что такое, по вашему, sql инъекция?

[Ипатьев]

ThunderCat, ну там же из примера видно, ему нужно выполнять запросы с пользовательскими условиями
Такой интерфейс аналитика без прямого доступа к SQL

[ThunderCat]

Ипатьев, больше интересует в чем собсно затык, так как кроме "хочу написать" никаких конкретных вопросов не прозвучало...

Answer 1

[mayton2019]

Есть два варианта.

Классифицировать все хотелки от пользователя и превратить их в набор формочек например

Count: ___
Names: ___

И транслировать их в фиксированные запросы типа

SELECT * FROM database WHERE count > _ AND Name IN (___,___)

И второй вариант - дать пользователю конструктор запросов. Чтоб пользователь как-бы мышкой
накликал набор предикатов-фильтров. Я не специалист в PHP, но в Java например такие конструкторы
(билдеры) выглядят вот так https://www.jooq.org/ или так querydsl.com

Все остальные варианты ты просто не потянешь в силу наверное слабого опыта. Сделать полноценную
защиту от инжекций - сложно даже профессионалам. Это - вечная борьба в кошки-мышки. И тебе
надо очень хорошо знать и DBMS и синтаксические парсеры чтобы хоть что-то полноценно там создать.
И не просто создать и все время поддерживать. Быть в тренде обновлений DBMS и новых векторов угроз.

Comments

[Ипатьев]

А чем отличается "набор формочек" от "накликать мышкой"? И на что именно кликать мышкой в конструкторах
(билдерах)?

[mayton2019]

Ипатьев, на мой субъективный взгляд обычные пользователи не обладают фантазией. Им можно дать
5-7 формочек и это покроет все бизнес-кейсы.

Зачем пользователь будет вообще вводить какие-то вариативные SQL-запросы - я не понимаю.
С моей точки зрения это уже не пользователь. Это бизнес-аналитик. Тестировщик. И дайте
ему консоль БД или IDE и он там прекрасно порешает все свои задачи.

А веб здесь просто выглядит как бесконечный источник инжекций.

Answer 2

[index0h]

По хорошему лучше так не делать. Разбор синтаксического дерева - это довольно сложная задача и ее стоит решать в крайнему случае.
Я бы рекомендовал ввести по полю на все ваши возможные фильтра и уже их использовать для построения запроса. Например: id (id = ), amountFrom (amount >=), createdAtFrom (createdAt >=),... Каждый фильтр объединяет в себе операцию и поле табицы. Да, прийдется перечислить все ваши поля и операции, но это решение самое простое в поддержке.

Так же вы можете передавать массив фильтров, в стиле: [field, operation, value].
На этапе обработки вы сможете относительно легко проверить и название поля, и операцию (>,<,=,!=,...), и заэкранировать значение. Вложенные условия будут уже сложнее.