В чем проблема SQL-Инъекций?

Question

[Gene Hagmt]

Прочитал эту статью, и в ней много внимания уделяется SQL-Инъекциям. Но мне непонятно, почему так много проблем от инъекций, если В документации PHP(PDO) написано:

Если в приложении используются исключительно подготовленные запросы, разработчик может быть уверен, что никаких SQL-инъекций случиться не может

Или например, Insufficient Authentication... если я верно понял, то эта проблема актуальна в том случае, если ты не защитил какие-либо страницы необходимостью аутентификации. Но кто вообще так делает??

Comments

[Антон Спирин]

Вот залогинится у вас на сайте ` ; DROP TABLE USERS ; --, узнаете.

[Gene Hagmt]

Антон Спирин, Могли бы вы объяснить, как текст из input'а превратился бы в запрос? Тем более, нужно же проверять вводимые данные на соответствие определенному формату. Такой логин даже не проверялся бы по базе, он бы отсеялся еще до того.

[Антон Спирин]

Gene Hagmt, вы понимаете очевидные вещи и у вас бы запрос отсеялся, но не перевелись еще проекты, где это работает и с формами, и с query string.

— Вы действительно назвали своего сына Роберт'); DROP TABLE Students;-- ?
— А, да. Дома мы его зовём Робин-брось-таблицу.

Answer 1

[Сергей Горностаев]

Разработкой занимается неприятно большое число глупых и халатных людей. Больше только жадных и некомпетентных заказчиков. Даже в серьёзных медицинских и банковских системах можно встретить чудовищные по своей простоте и в то же время опасности ошибки. А в web-разработке всё намного хуже, по оптимистичным оценкам 99% сайтов сделаны по принципу и так сойдёт.

Comments

[Gene Hagmt]

Картинка угарная)

Answer 2

[Антон Шаманов]

не достаточно ты читал про иньекции, бывают с 2ым дном
Name : ' + (SELECT TOP 1 password FROM users ) + '

Comments

[Gene Hagmt]

Антон Шаманов, я информации не нашел. Так в чем же различие?

[Антон Шаманов]

гугли "sql иньекции второго порядка". делать маски (например, для name '[\w]+') для полей, экранировать пользовательские данные сохраненные в твоей бд при отображении.

[Gene Hagmt]

Ну вот здесь я нашел пример. Но там речь идет о том чтобы зарегистрироваться на сайте под логином "admin' --". Логин в принципе не должен содержать кавычки. Если же речь идет о каком-нибудь input'e где больше свободы по символам, то там текст должен экранироваться и инъекции не должно произойти. То же самое вроде и с куки или урлом. Я ошибаюсь?

[Антон Шаманов]

Gene Hagmt, второго порядка значит срабатывают не непосредственно при добавлении в базу, а при использовании этих данных в других запросах. Подобный хак требует хорошего знания структуры бд т.ч. если речь не о публичном коде, то можешь не волноваться

Answer 3

[Arman]

SQL-инъекции позволяют выполнять свой набор SQL-запросов, а это может быть как удаление всего нафиг и хорошо если будет свежий бэкап, так и изменение данных (дать кому админ права, начислить себе на счет лишний миллион и т.д.) бороться с этим нужно на момент запросов и это не так сложно

Answer 4

[maclien10]

Здравствуйте) Советую вам прочитать статью описывающую суть SQL-injection)
Объяснение sql-injection