Очистить запрос от потенциальных sql иньекций?

Question

[NubasLol]

Какие есть способы очистить запрос от sql иньекция?Именно запрос, через промежуточное ПО. Возможно есть библиотеки, или просто совет дайте)

Comments

[Дмитрий]

Подготовленные выражения

[NubasLol]

Дмитрий,

Именно запрос, через промежуточное ПО

Есть какой-то прокси, который фильтрует запрос, а уже обработка на бэкенде должна быть безопасной

[Дмитрий]

NubasLol, https://en.m.wikipedia.org/wiki/Prepared_statement

[NubasLol]

Дмитрий, у меня будет прокси сервис, который должен очистить запрос, и дальше его любой сайт сможет безопасно записать в бд.

[ThunderCat]

NubasLol, Во первых, надо понимать что самым безопасным методом будет вышеуказанный - через подготовленные выражения, все остальные методы, выдающие строку sql для вставки будут менее безопасны априори. Вопрос не в качестве обработки строк перед вставкой, а в методах работы с запросом в целом, они абсолютно разные.

В случае прямого запроса вы отправляете базе строку, в которой бд должна распознать что является ключевыми словами и параметрами запроса, при этом порядок кавычек и экранирующих символов тоже обрабатывается как кусок запроса. В случае если строка содержит какие-то управляющие символы, не экранированные или не обработанные предварительно, бд обработает их как комманду, что собственно и есть инъекция.

В случае подготовленных выражений отдельно передается запрос, отдельно параметры, и строка sql не содержит в себе строк кроме комманд. Она заранее готовится сервером к исполнению, и только потом туда вставляются параметры(строки значений от пользовательского софта), которые уже не обрабатываются бд, а напрямую пишутся/читаются в нужных местах(рендеринг не происходит), по этому инъекции исключены.

Во вторых, google "sql injection safe query library", они не дают 100% гарантии, но среди них возможно найдется что-то что вас устроит.

Answer 1

[sim3x]

WAF
но его настройка настолько сложна, что изучение, что такое prepared statements, ORM вам будет предпочтительнее

Comments

[NubasLol]

Я знаю что это такое, подготовленные запросы, и что orm их используют

У меня задача сделать Reverse Proxy, и в нем настроить защиту от sql

на golang

[sim3x]

NubasLol,
Если у вас есть 3-10 лет опыта взлома (защиты от взлома), то можете попытаться
Если нет, то придется такой опыт получить

[NubasLol]

sim3x, смешно) Ну хотя бы частичную защиту, с помощью регулярок или типо того, нет готовых правил?

[sim3x]

NubasLol,
Частичная защита не имеет смысла

[NubasLol]

sim3x, смотря как это преподнести клиенту )

[sim3x]

NubasLol, никак не преподносите туфту
Никогда
Никому

[NubasLol]

sim3x, что просят, то и получают.

[sim3x]

NubasLol,
сомневаюсь, что у вас просят сделать туфту

[NubasLol]

sim3x, ну если бы были готовы ждать 3-10 лет и платить, то конечно можно было бы сделать иначе

[sim3x]

NubasLol,
Еще раз

Вас не просят делать туфту - не делайте ее

Скажите что не компетентны решить данную проблему