Как защититься от SQL Injection?

Question

[seredaes]

Привет ребята. Есть страницка, куда передаются GET параметры.
Дальше они парсятся, подготавливаются как переменные, строковые, и подставляются в БД.
Кто-то умный наставил туда

...111%27%20UNION%20SELECT%20CONCAT(CHAR(91,88,93),count(*),CHAR(91,88,93))%20FROM%20...

Используется mysql (т.е. deprecated version :< )
также для каждой переменной был применен mysql_real_escape_string

Задача. Как из параметра удалить все операторы SQL?
Как-то preg_replace, str_replace.
Или может быть есть более изящное решение?

Т.е. вопрос не столько в защите от удаления чего-то, а чтобы остался красивый текст, а все ключевые слова SQL были удалены!

Comments

[Сергей Филатов]

Кинь ссылку сайта (^_^)

Answer 1

[Сергей Филатов]

Быстрые рекомендации.
Для предотвращения SQL инъекций следует соблюдать два простых правила:
1. Не помещать в БД данные без обработки.
Это можно сделать либо с помощью подготовленных выражений, либо обрабатывая параметры вручную.
Если запрос оставляется вручную, то
- все числовые параметры должны быть приведены к нужному типу
- все остальные параметры должны быть обработаны функцией mysql_real_escape_string() и заключены в кавычки.

2. Не помещать в запрос управляющие структуры и идентификаторы, введенные пользователем.
А заранее прописывать в скрипте список возможных вариантов, и выбирать только из них.

Два важных дополнения:
1. Используя изложенную в этой статье информацию, я написал Класс для безопасной и удобной работы с MySQL, который делает запросы безопасными и сокращает код в несколько раз.
2. Если вы не любите сторонние библиотеки, то пользуйтесь хотя бы PDO. Как работать с PDO? Полное руководство.

Comments

[Евгений]

А так же хоть какую-то аутентификацию надо бы делать, а то данные в БД может по итогу записывать любой проходящий мимо, тем самым засирать БД мусором.

[seredaes]

Сергей, очень интересный ответ. Спасибо. Тогда вопрос такой, как из строки удалить все ключевые слова SQL и наподобие CHAR(1,2,3) ?

[seredaes]

$data = $db->getAll("SELECT * FROM ?n WHERE mod=?s LIMIT ?i",$table,$mod,$limit);
Из вашего же примера. Если $table = "CHAR(1,2,3) SELECT DELETE UNION" то это же пройдет как я понимаю?
Вот я хочу даже это убрать.

Answer 2

[xmoonlight]

Здесь описаны фильтры для защиты от SQL-инъекций.

Comments

[seredaes]

КРУТО! Жаль, что это только для GET подойдет.

[xmoonlight]

seredaes: а что мешает правило скопировать для POST?)