SQL инъекция или можно?

Question

[hooligan377]

В общем мне известно, что лучше работать с подготовленными запросами при записи чего либо в бд.

Вопрос в том, могу ли я при выводе использовать обычные запросы, типы mysqli_query() - ведь по сути никакой инъекции не может быть, или может?

Answer 1

[sim3x]

Если перед вставкой код не прошел санитайзер, то получите xss

Comments

[hooligan377]

Ну если допустим мне нужно вывести ни текст, в который могли попасть хтмл или пхп теги, а логин и ид, то ХSS не должно быть или все таки есть возможность?

Предварительно логин проходит валидацию и хтмл или пхп теги попасть туда не могут, а данные при выводе проходят процедуру (очистки или валидации, или как вернее будет) с помощью htmlspecialchars()

[sim3x]

hooligan377,
Если данные всегда проходят через хороший санитайзер, то ето никак не мешает также всегда использовать prepared statements

Оба метода не дают абсолютных гарантий от взлома

Применение prepared statements никак не усложняет код

[hooligan377]

sim3x, Да проблемка просто с этим кодом...

Подсказали мне вот такой вариант работы в цикле при помощи подготовленного запроса:

$stmt = $base->prepare("SELECT * FROM `chat` ORDER BY id LIMIT 5");
$stmt->execute();
$data = $stmt->get_result()->fetch_all(MYSQLI_ASSOC);

foreach ($data as $row) {
    echo $row['das'];
}

Но он не работает, то есть ни ошибок ни получение информации из бд - не происходит. Я почитал мануал по функциям и не смог в итоге разобраться с этим. Потому что перепробовав все варианты - результат был один и тот же.

А вот если работать с таким кодом:

// Переменные $start и $max используются, определяются выше (в ненужном здесь куске кода)
$q = mysqli_query($base, "SELECT * FROM `chat` ORDER BY `id` DESC LIMIT $start, $max");

echo '<div class="block">';

if($count){
while ($row = mysqli_fetch_array($q)) {
	$sql = mysqli_query($base, "SELECT * FROM `profile` WHERE`id` = $row[uid]");
	$fetch = mysqli_fetch_array($sql);
echo '<div style="padding: 5px">';
echo ''.$fetch['login'].' |'.filter_db_text($row['text']).'';
echo '</div>';
echo '<div class="link-line"></div>';

}}else{
	echo '<div class="gl-obv">Сообщений нет</div>';
}

То в моем варианте, код выполняется корректно.

[sim3x]

hooligan377, ваши примеры не еквивалентны

В первом блоке - сделайте var_dump($data)

Во втором
$max = ' 1; DROP TABLE `chat` '
После того как сделаете бекап и проверите его работоспособность

[hooligan377]

sim3x, переменную $max определяю я, еще в начале скрипта, это количество записей на странице. То есть, пользователь не имеет возможности ее изменения и соответственно не доберется для залития инъекции. Тоже самое и с переменно $start

Вот он весь кусок кода:

$max = 10;
$count = mysqli_num_rows(mysqli_query($base, 'SELECT COUNT(*) FROM `chat`'));
$pages = ceil($count/$max);
$page = filter_var(trim($_GET['page'], FILTER_SANITIZE_NUMBER_INT));

if($page > $pages) {$page = $pages;}
if($page < 1) {$page = 1;}
    
  $start = $page * $max - $max;

$q = mysqli_query($base, "SELECT * FROM `chat` ORDER BY `id` DESC LIMIT $start, $max");

echo '<div class="block">';

if($count){
while ($row = mysqli_fetch_array($q)) {
	$sql = mysqli_query($base, "SELECT * FROM `profile` WHERE`id` = $row[uid]");
	$fetch = mysqli_fetch_array($sql);
echo '<div style="padding: 5px">';
echo ''.$fetch['login'].' |'.filter_db_text($row['text']).'';
echo '</div>';
echo '<div class="link-line"></div>';

}}else{
	echo '<div class="gl-obv">Сообщений нет</div>';
}

[hooligan377]

sim3x, А var_dump делал, выводит он следующее:

array(5) { [0]=> array(5) { ["id"]=> int(1) ["uid"]=> int(20) ["tid"]=> int(20) ["text"]=> string(6) "sadasd" ["time"]=> int(1550745018) } [1]=> array(5) { ["id"]=> int(2) ["uid"]=> int(20) ["tid"]=> int(20) ["text"]=> string(6) "sadasd" ["time"]=> int(1550745081) } [2]=> array(5) { ["id"]=> int(3) ["uid"]=> int(20) ["tid"]=> int(20) ["text"]=> string(8) "sasadasd" ["time"]=> int(1550745090) } [3]=> array(5) { ["id"]=> int(4) ["uid"]=> int(20) ["tid"]=> int(20) ["text"]=> string(8) "sasadasd" ["time"]=> int(1550745130) } [4]=> array(5) { ["id"]=> int(5) ["uid"]=> int(20) ["tid"]=> int(20) ["text"]=> string(8) "sasadasd" ["time"]=> int(1550745161) } }

[sim3x]

hooligan377,

То есть, пользователь не имеет возможности ее изменения

а потом захлочется позволить пользователю ее менять, а код с запросом уже в другом файле...

выводит он следующее:

найдите в данном дикте 'das'

[hooligan377]

sim3x, Если он захочется, то сделаю я примерно таким образом:

В начале я создам файл конфигурации (типа с настройками) setting.php (помещу его в папку profile) и буду там собирать данные хотелок пользователей. Но при этом я буду использовать подготовленный запрос.

А в данном коде, я изменю всего 1 строку, поменяю $max = 10 на $max = $p_setting['page_max'], то есть в принципе все решаемо...

или я в чем то не прав?

Вообще отклонились от темы.. В данном коде, есть или нету sql инъекции? Могу я им безопасно пользоваться или лучше не стоит?

[sim3x]

hooligan377,
Я не вижу, автоматический брутер - может увидеть

Я говорил про получение параметеров для запроса от пользователя в урл в виде гет-параметров

Если данные всегда проходят через хороший санитайзер, то ето никак не мешает также всегда использовать prepared statements

В вашем первом блоке кода была ошибка, потмоу ничего не выводилось

Также советую изучить любой шаблонизатор и использовать его вместо той каши, что у вас поулчилась во втором блоке кода

[hooligan377]

sim3x, думаю меня простят за невнимательность, нашел косяк более углубившись в первый вариант с подготовленным запросом, ошибка простого синтаксиса, в место DESC писал DESK и постоянно получал ошибку синтаксиса из-за чего и отсеил этот вариант первоначально. Дико извиняюсь за ваше потраченное время.

[hooligan377]

sim3x, Огромное вам спасибо)

[sim3x]

hooligan377,
Скуль запросы проще и лучше писать прямо в коммандной строке мускула - он сразу гавкнет вменяемую ошибку

[hooligan377]

sim3x, Хорошо, учту, огромное вам спасибо)

Answer 2

[Северное Сияние]

Ты запутался в sql-инъекциях и выводе данных.
При записи надо всегда применять подг. запросы или иные обертки, препятствующие sql-инъекциям и порчи синтаксиса SQL.

При выводе данных из БД всегда надо применять htmlspecialchars, т.к. это предотвратит и XSS и "порчу" верстки, если попадется в тексте символ <, > или кавычки.

Перед записью в базу текст НЕ ДОЛЖЕН подвергаться никакой санитарной обработки.