Hex в запросе mysql. Как это работает?

Question

[sarkisssik]

Здравствуйте. Этот запрос выдает результат

select * from tables where id_banner = 1 or num_blok = 21

а этот запрос (аналогичный в hex) выводит пустоту

select * from tables where id_banner = 0x31206f72206e756d5f626c6f6b203d203231

Как я понял уже, mysql не проводит никаких преобразований, поэтому это два разных запроса.
Тогда объясните почему, читая о безопасности сайта, часто вижу подобные примеры инъекций с использованием hex ?

Спасибо!

Answer 1

[Сергей Соколов]

Шестнадцатиричная запись чисел в MySQL так и работает:

SELECT 0x12 + 0x34;
-- 70

Но самое большое целое в MySQL это 8-байтовое 18446744073709551615.

У вас же записано какое-то слишком большое число. Где-то ошибка – может, ваше значение надо рассматривать как текстовую строку, или разбить его на несколько.

P.S. посмотрите, «что могло пойти не так» запросом SHOW WARNINGS;

Comments

[sarkisssik]

допустим , я сейчас делаю запрос

select * from tables where id_banner = 0x32
0x32 = > 2

Почему нет результата ?

[Сергей Соколов]

sarkisssik: а что у вас выводит select * from tables where id_banner = 50 ?

[sarkisssik]

Сергей Соколов: если 2 , то есть значение такое, если 50 - нет такого значения

[Сергей Соколов]

sarkisssik: в шестнадцатиричной системе 0x32 = 50 в десятиричной.

[sarkisssik]

Сергей Соколов:

[Сергей Соколов]

sarkisssik: мда... это вы, друг мой, получили ASCII-символ по коду 0x32 – текст, цифру «2». Точно так же 0x53 вам даст заглавную букву "S", например.

[sarkisssik]

Сергей Соколов: объясните, как переводить правильно ?

[Сергей Соколов]

sarkisssik: на каком языке программирования? На JS parseInt( '0x32', 16). На SQL просто SELECT 0x32;

Кстати, я перевёл ваш «шестнадцатиричный» длинный id_banner в текст. Если предположить что каждая пара цифр это hex ascii-код 1 буквы, то 31206f72206e756d5f626c6f6b203d203231 даёт совершенно осмысленный код 1 or num_blok = 21

[Сергей Соколов]

sarkisssik: JS для «дешифрации»:

var s = '31206f72206e756d5f626c6f6b203d203231', out = [], i;
for( i = 1; i < s.length; i+=2) out.push( String.fromCharCode( parseInt( s.substr(i-1,2), 16)));
out.join("") // 1 or num_blok = 21

[sarkisssik]

Сергей Соколов: Язык - php.

Я теперь запутался : mysql воспринимает шестнадцатиричный код или нет, исходя из того, что мое выражение имеет логику при расшифровке, но не выполняется при запросе ? ))

[Сергей Соколов]

sarkisssik: MySQL понимает только 16-ричные числа. Но ваша строка – не число, а закодированный запрос. В исходном виде её пихать в MYSQL бессмысленно.

WARNING: если это приходит извне, как часть запроса, и вы соберётесь это декодировать и пропускать – вашу БД легко «сломают», ведь можно абсолютно любой запрос закодировать таким образом – в т.ч. выдающий все записи, меняющий содержимое и стирающий все таблицы.

[Сергей Соколов]

sarkisssik: в PHP всё просто:

$hex = hex2bin("31206f72206e756d5f626c6f6b203d203231");
var_dump($hex);
// 1 or num_blok = 21

Это всё очень похоже на попытку SQL-инъекции. Будьте осторожнее и точно уверены, что делаете.

[sarkisssik]

Сергей Соколов: у меня запрос

$db_query="select * from table where id_banner = $num_ban  ";
       $q_ident=mysql_query($db_query);

где $num_ban = $_GET['id'], но она никак не фильтруется, а только есть проверка is_numeric. Исходя из моего запроса, мне говорят, что у меня возможно есть уязвимость . Вот и я перебираю все варианты

[Сергей Соколов]

sarkisssik: да, у вас 100% уязвимость. Используйте, пожалуйста, PDO.

[sarkisssik]

Сергей Соколов: вы меня извините за назойливость, но изначально я пытаюсь понять, как могут взломать мой сайт в этом запросе .
Получается , то что я смотрю в сторону HEX - это уже верный путь или нет ?

[Сергей Соколов]

sarkisssik: чтобы понять, как могут взломать, надо смотреть подробно от входных значений. Вот на $_GET['id'] злодей подсовывает нечто. Куда дальше это значение идёт, как проверяется? Строка "0x123abc" на проверке is_numeric() даёт false. Если дальше вы отвергаете и не обрабатываете такой запрос, всё в порядке.

[sarkisssik]

Сергей Соколов: у меня GET['id'] только проверяется условием is_numeric , следовательно is_numeric('0x123abc') = true и идет сразу в базу

[Сергей Соколов]

sarkisssik: нет. «следовательно is_numeric('0x123abc') === FALSE

[sarkisssik]

Сергей Соколов: тогда объясните, почему var_dump(is_numeric('0x123abc')); выводит true ?

[Сергей Соколов]

sarkisssik: зависит от версии PHP: начиная с PHP 7.0 is_numeric('0x123abc') вернёт FALSE.

[sarkisssik]

Сергей Соколов: ну хорошо. Если в моем случае пропускается эта проверка, то как, все-таки, будет строится "плохой запрос" ?

[Сергей Соколов]

sarkisssik: я не знаю. Но может обнаружиться такой способ, недокументированая особеность is_numeric(), что-то ещё, и тогда у вас дыра. is_numeric() пропустит и в восьмеричной системе, но MySQL её не поддерживает.

Просто есть «правила» – никогда не вставлять прямо в запрос то, что ввёл пользователь. Даже после проверок. Всегда сначала обрабатывать – лучше всего биндить через PDO. Аналогичная дискуссия (на англ.)

[sarkisssik]

Сергей Соколов: Вас понял. Спасибо за отклик !