Является ли данный код защищенным от SQL инъекций?

Question

[LamerFromSpace]

Интересует место после WHERE

$fields = [
        "id" => "id",
        "name" => "name",
        "birthdate" => "birthdate",
        "address" => "address",
        "phone" => "phone",
        "job" => "job",
    ];
    $search = $DB->prepare("SELECT * FROM User WHERE {$fields[$_GET['field']]}  LIKE :search");

Может есть способ поизящнее сделать? Это костыль какой то

Comments

[ThunderCat]

интересно, а если я гетом туда "stupid" передам?

[LamerFromSpace]

ThunderCat, а если не язвить и нормально объяснить? Все когда то были в чём-то новичками. Как по мне ничего страшнее пустого ответа сервера не случится

[SagePtr]

LamerFromSpace, вы не проверяете на существование в массиве, если пользователь передаст что-то несуществующее - произойдёт обращение к несуществующему индексу.
Страшного не произойдёт, просто пользователь увидит ошибку и поймёт, что автор - дно. Является ли позор для вас страшным или нет - решать вам.

[LamerFromSpace]

SagePtr, это я понимал и так, код пишу чтобы потестить, единственный кто будет это юзать - я сам. Мне интересна именно возможность SQL инъекции через это место.

[LamerFromSpace]

SagePtr, даже если это кто то вдруг будет использовать - выбор поля идёт через тег select, запрос идет используя ajax, вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли? Оставьте Ваши оскорбления при себе

[Иван Корюков]

LamerFromSpace, среди рядовых пользователей обязательно найдётся тот, который откроет консольку и начнёт играться с вашими url'ами.

[ThunderCat]

LamerFromSpace,

вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли?

это... я всегда так делаю, а что не так то?

а если не язвить и нормально объяснить?

Где я язвил? Задал вопрос, который должен вас немного подтолкнуть в верном направлении, никакого язвления.

Как по мне ничего страшнее пустого ответа сервера не случится

ну, скорее всего не случится, но будет ошибка синтаксиса sql и запрос отвалится, в зависимости от настроек сервера скрипт либо выдаст варнинг/нотис, либо вывалится с ошибкой.

Answer 1

[Иван Корюков]

От инъекции как таковой код защищён. По крайней мере в лоб передать кусок запроса уже не получится.
Однако надо проверять что пользователь передаёт название существующего поля, чтобы код не падал.
А ещё надо следить чтобы сервер автоматически не превращал параметры запроса в переменные, чтобы пользователь, случайно или умышленно, не затёр вам $fields собственным массивом.
Хотя мне кажется это первое чему учат, когда говорят про безопасность в PHP)

Comments

[knnk]

Что-то сильно сомневаюсь про защиту.
Защищен он тогда, когда запрос параметризуется.
А там параметризован только LIKE.
А в поля из запроса можно передать все, что угодно и это уйдет на сервер, а в конце будет подставлено условие в LIKE.

Почему-то все считают, что если написать хрень и вызвать Prepare, то автоматом случится чудо...

[Иван Корюков]

knnk, никто так не считает. В запрос вставляется не значение из GET, а элемент массива, индекс которого выбирается GET параметром.
Массив жёстко задан в коде, поэтому максимум что можно сделать передав неправильный GET параметр - это словить undefined index.

[knnk]

Иван Корюков, да, протупил, тысяча извинений.
Параллельно просто обсуждали одну систему, где история была ровно как описал - все типа лечилось prepare и все.

Чтобы не словить, думаю, проще array_key_exists и все.
А в идеале как сказал другой оратор - show columns.