Точно и подробно про защиту от инъекций в php, mysql?

Question

[Владислав Васильев]

Здравствуйте! Перерыл кучу разной информации по поводу защиты вводимых пользователями данных, но точного объяснения, как нужно правильно защищаться не нашел. На форумах, гайдах и прочих источниках информации, всегда всё сводится к одному - человек пишет гайд, как "правильно" нужно защищаться, потом в комментариях люди пишут, что он дурак и только учит людей плохому. В итоге, нормально и точной информации никто не оставил.
Возьмём за пример такую задачу, самую элементарную и о которой постоянно говорят - защита пароля, логина на форме авторизации. Кто-то пишет, что нужно делать так:

$login = trim($_GET['login']);
	$login = strip_tags($login);
	$login = mysqli_real_escape_string($mysqli, $login);

А кто-то, что нужно так:

$login = $_GET['login'];
	$login = mysqli_real_escape_string($mysqli, $login);

В итоге, все эти варианты "забраковывают". Ответа я так и не получил. К тому же, даже если "гуглить" информацию по моему запросу, на первых местах постоянно статьи, с минусовым рейтингом(С хабра, например). Возможно, вопрос очень простой, но перечитав все статьи, я окончательно запутался. Может ли кто-нибудь дать ответ по этому вопросу? Прошу не писать про то, что нужно использовать готовые CMS и прочие решения.
Спасибо!

Comments

[Анатолий Кузнецов]

Я конечно так себе программист, но по документации mysqli вроде бы и так защищена от инъекций и экранировать ничего не нужно.

Answer 1

[Сергей delphinpro]

$login = trim($_GET['login']);
$login = strip_tags($login);
$login = mysqli_real_escape_string($mysqli, $login);

Почему вы думаете, что нужно менять логин пользователя, если она захотел именно такой? хочет быть <script> - пусть будет. Не ограничивайте.

нужно различать sql-инъекцию и xss-атаку
т.е. если мы пишем в базу, то
$login = mysqli_real_escape_string($mysqli, $login);
query( insert into ... );

Далее выводим на страницу
$login = query( select from ... );
echo htmlspeialchars($login);

И все счастливы.

Если у вас будет время, напишите, пожалуйста, как бы Вы написали данный код. Мне просто интересно, посмотреть на правильно реализованный код.

Код писать лень, хотя я там выше в принципе его уже написал =) только вместо mysqli_real_escape_string в реальном коде я бы использовал подготовленные выражения (и PDO вместо mysqli, хотя тут наверное, дело вкуса).

Comments

[Владислав Васильев]

Из логина я убрал всё лишнее, так как он не должен содержать ничего лишнего(просто слово, вида "login"). Он нигде не отображается, используется только для логина. Для внешнего отображения используется другая переменная "nickname" - вот там, я ничего не ограничиваю. У меня всё так и реализовано, просто потом задумался и начал искать информацию. После того, как прочитал, засомневался в своем решении и обратился сюда. Спасибо за ответ!

[Владислав Васильев]

Помимо этого, на меня свалился небольшой проект, однако с большой ответственностью. Вот я и переживаю за безопасность.

[xmoonlight]

Владислав Васильев: советую всё-таки обратить внимание на код в моём ответе: это проверенное решение, работающее уже несколько лет.

[xmoonlight]

OnYourLips: почему? сможете обосновать?

[xmoonlight]

OnYourLips:
По пункту 1 - хотелось бы конкретики.
По пункту 2 - что именно он не делает?
По пункту 3 - хотелось бы конкретики.
(Пока что - ничего конкретного Вы не сказали..)

[xmoonlight]

OnYourLips: пункт 3 - согласен, здесь не структура MVC, а просто сам код в виде функций: где и как использовать (в какой момент) и куда его вставлять - это дело десятое (и так понятно).
Остались пункты 1 и 2)))
Про п.1: вырезка кавычек вместо их экранирования (я так полагаю...)?
Про п.2: даже не догадываюсь...
Можно пояснить мне по ним? (возможно я реально упустил что-то... но пока не могу понять.)

[xmoonlight]

OnYourLips: я статью прочитал, но не могу понять: почему мой код не защищает всё-таки от sql-инъекций? поэтому и спросил...

Answer 2

[xmoonlight]

Проверка входящих переменных делается в 2 этапа:
1. validfilter() - Проверяем входные переменные от пользователей на валидность через Regex.
2. mysql_escape_mimic() - Экранируем перед помещением в выражение запроса к БД.
(код рабочий!)

//----------------------
function mysql_escape_mimic($inp) {
//from: http://php.net/manual/en/function.mysql-real-escape-string.php#101248
    if(is_array($inp))
        return array_map(__METHOD__, $inp);
    if(!empty($inp) && is_string($inp)) {
        return str_replace(array('\\', "\0", "\n", "\r", "'", '"', "\x1a"), array('\\\\', '\\0', '\\n', '\\r', "\\'", '\\"', '\\Z'), $inp);
    }
    return $inp;
}

function validfilter($value,$regexp,$flags='usi') {
  if (preg_match('/'.$regexp.'/'.$flags, $value,$result) 
       && $result[0]===$value) return $value;  
  else return false;
}
$charset=array(
   'bad'=>'\x00-\x09\x0B\x0C\x0E-\x1F\x80-\xFF',
   'sql'=>'\x00\x0a\x0c\x1a\x22\x27\x5c',
    'en'=>'a-zA-Z',
    'ru'=>'а-яА-ЯёЁ',
   'digits'=>'0-9',
   'num'=>'0-9-.',
   'space'=>'\s',
);
$filter=array(
//login - любой символ, кроме непечатных, sql-"опасных" и пробелов; от 3 до 20 знаков.
 'login'=>"^"."([^".$charset['bad'].$charset['sql'].$charset['space']."]{3,20})$", 
);
//----------------------
$login = validfilter($_REQUEST['login'],$filter['login']);

Затем (при необходимости), для безопасной работы с базой, используем: mysql_escape_mimic()
В данном случае, в $login экранировать будет нечего, т.к. мы сразу проверили это через добавление набора $charset['sql'] в фильтр проверки.
Поэтому, $login можно сразу использовать в sql-запросе без каких либо опасений.

Comments

[trevoga_su]

бредятина

[xmoonlight]

trevoga_su: возможно, почему именно? Обоснуешь?

[trevoga_su]

xmoonlight: потому, что нет никакой "валидности" данных. ЛЮБЫЕ данные можно писать в базу данных. достаточно делать то, что описано по ссылкам в посте выше.

это
- экранирование
- соблюдение синтаксиса sql

валидация КОНКРЕТНЫХ данных - это совершенно отдельная тема. сейчас он наслушается и начнет вводить валидацию на все подряд. то, что ему уже и насоветовали с strip_tags

[xmoonlight]

trevoga_su: можно провалидировать сразу, чтобы потом не получить проблем. После фильтрации через такой код - запросы к базе будут максимально безопасными.

[trevoga_su]

> запросы к базе будут максимально безопасными...

если следовать в статьях рекомендациям. не надо ничего лишнего выдумывать

[xmoonlight]

trevoga_su: ну да... я и смарю автор ничего не выдумал.... целый трактат и еще класс потом целый: https://github.com/colshrapnel/safemysql/blob/mast...

Answer 3

[xfg]

Подготовленные запросы.

Старайся вообще читать по меньше хабр и побольше документации от разработчиков инструмента, которым пользуешься. Хабр и другие блог платформы это субъективное мнение автора. Не надежный источник информации.

Comments

[xmoonlight]

Согласен на 75%.
Даже в док. от разработчиков косяки тоже свои бывают...
Я предпочитаю всё-таки предварительно фильтровать Regex'ом в явном виде при работе с данными в любом случае и сам составить запрос в безопасном и удобном для меня виде.

[xfg]

Косяки бывают, но это ошибка, когда документация расходится с кодом. Соответственно , когда кто-то сделает репорт, то разработчики выпустят фикс, который исправляет документацию или код.

Но со статьями иначе, по мимо ошибок, там может быть личное заблуждение автора или в вашем случае - предпочтение, т.е. в отличие от документации статья имеет место субъективному мнению. Поэтому и не надежный источник.

[xmoonlight]

xfg: Про косяки - бывает код расходится с тем, что он должен делать в реальности и это может угрожать взлому из-за банального недосмотра разработчиков. Я везде лучше лишний раз отфильтрую, чем потом буду разгребать проблемы.
У меня, скорее, не предпочтение, а доп. защита от косяков самих же разработчиков. Как говорится: на всякий "пожарный".
А про статьи - это там всё что хочешь может быть: это более чем не надёжный источник.