Нашел sql иньекцию. Как закрыть дыру?

Question

[andrey69rus]

ошибка

Ошибка БД

Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-5, 5' at line 4

SELECT * FROM (`pages`) ORDER BY `id` desc LIMIT -5, 5

Filename: C:\OpenServer\domains\shop\system\database\DB_driver.php

Line Number: 331

код

public function get_bynum($count, $start = 0,$where=FALSE,$single=FALSE) {
$this->db->order_by("id", "desc");
$start = $start*$count;
if($where && is_array($where)) {
$this->db->where_in($where);
$res = $this->db->get($this->table_name,$count,$start,$single);
}
else
$res = $this->db->get($this->table_name,$count,$start,$single);
return $res->result();
}

запрос гет с данными "%40%40J4U6h"
помогите закрыть дырочку)

Answer 1

[FanatPHP]

Я не вижу здесь инъекции.
Зато я вижу здесь дурацкий квери билдер, в котором, действительно, потенциальных дыр - миллион. Как инъекций, так и логических ошибок.

Плюс нарушение синтаксиса SQL без инъекции.
Чтобы закрыть эту глупость, можешь написать

$start = abs($start);

в методе get() или куда там он дальше передает эти параметры

Но по-хорошему эту проверку надо делать в контроллере, поскольку к SQL она не имеет отношения - это проблема валидности данных. Отрицательные старты надо не исправлять, а показывать для них 404

Comments

[andrey69rus]

и этот идиотский квери билдер в фреймворке codeinteger

[FanatPHP]

да, он действительно устарел.

[andrey69rus]

FanatPHP: типо чтото делают current version (2.2.1) came out in January, 2015

Answer 2

[xmoonlight]

regexp-обработчик!

Answer 3

[andrey69rus]

нашел решение
if(is_nan($start) == FALSE) $start = 0;

Comments

[FanatPHP]

Василий: нет. там ведь отрицательные нельзя

[FanatPHP]

andrey69rus это не решение, а ерунда.

[andrey69rus]

FanatPHP: ну других я незнаю) подскажите лучше

[FanatPHP]

1. Это все равно не решение, знаешь ты другие или нет. 2. Я написал правильное решение в своем ответе

[Дмитрий]

и где вы это хотите вставить? Учтите, что результат произведения зависит от обоих множителей. Похоже, что нужно проверять и $start и $count, либо результат уже после умножения. Возможно есть смысл сделать валидацию данных ещё раньше?

[FanatPHP]

Не раньше, а ПОЗЖЕ. Это надо вставлять перед самым добавлением в запрос.