Так можно ли обойти mysqli_real_escape_string?

Question

[ddredvop]

Привет.
Говорят, каждый тру гуру PHP обязан как минимум 1 раз стебануть кого-нибудь на форуме по поводу применения данной функции. Но ведь ее применения достаточно, чтобы не пропустить инъекцию. Да понятно, что она не для защиты! Но не припоминаю, чтобы видел хоть один пример обратного. Или можно ее обойти не используя двойные кавычки?

$user = mysqli_query($link,'select * from users where user_name = "'.mysqli_real_escape_string($link,$user_name).'"');

P.S. подготавливаемые запросы - крута, безусловно, но просьба именно по существу вопроса.

Answer 1

[FanatPHP]

$id    = "1; DROP TABLE users;"
$id    = mysqli_real_escape_string($link, $id);
$query = "SELECT * FROM users where id = $id";

свободен

Судя по числу подписчиков, этот вечнозеленый вопрос все ещё будоражит некорепшие умы.
И надо в который раз повторить очевидную вещь: вопрос сам по себе изначально некорректный.
Поскольку функция mysqli_real_escape_string Не имеет. Никакого. Отношения. К SQL инъекциям. То, что эта функция предназначена для защиты от инъекций - самое древнее и заскорузлое суеверие хомячков от похепе.
На самом деле это функция для форматирования строк. К инъекциям отношения не имеет и применяться для защиты не должна.
Для защиты служат подготовленные выражения.

Comments

[ddredvop]

Холивар просил же не начинать, все кому надо и так знают что и для чего использовать, вопрос есть, оффтоп твой тоже есть.

[FanatPHP]

Не надо юлить. Ты задал вопрос, тебе на него ответили.

Поскольку ты, как и все остальные хомячки, не понимаешь что делает эта функция, для чего нужна, и как ее принмеять, то как раз первый вариант вопроса - это именно то что ты имел в виду. И не надо уже ёрзать "ой а у меня вот такой код". Впрос был не про "код", а про функцию.

[AUser0]

Ругань конечно руганью, холивар священен, но почему бы не использовать строковую функцию именно для безопасной подготовки строки?
$query = "SELECT * FROM users where id = '{$id}'";

P.S. Множество продуктов, работающих именно так - и нет, ну нет в этих Тырнетах стонов о ежедневно обрушаемых базах данных и взламываемых через SQL продуктах...

[FanatPHP]

AUser0, потому что ты не в теме. Стоны-то каждый день, почитай тематические рассылки.
Потому что про строки знаем ты и я, а для немеряных стад хомячков "муиськуэль иськейп стринг засисяет от енекций, насяльинка"
Потому что такие умники сначала "использовать строку", потом "а давайте искейпить централизованно, чтобы потом не париться с каждым запросом", потом "а вот у нас отдельный скриптик, но мы же уже привыкли что все проискейплено, пихаем как есть".
Потому что "искейпить надо пользовательский ввод", а потом такие хопа "ой, инъекция второго порядка".
Потому что колупание с голым SQL и ручным искейпингом переменных - это УЖЕ ад и говнокод. А в нормальном коде у тебя переменные приезжают к запросу уже в виде массива и через препаре тупо удобнее.
продолжать?

[Etherata]

Проверила. Специально создала testtable.
Передала в передаваемом параметре "1; drop table testtable;"
testtable на месте.

Мне действительно интересен пример атаки, где mesqli_real_escape_string не спасёт.

[FanatPHP]

Etherata, если интересны "примеры атак", то надо учить SQL.
Я понимаю что учить это скучно, но жизнь вообще скучная штука.
Лучше пойти видосик на ютубе посмотреть, с котиками.

[Etherata]

FanatPHP, мимо.
Я знаю SQL, плюс-минус. Вот PHP знаю плохо, врать не буду.
Вокруг mysqli_real_escape_string шума много. Ещё до того, как наткнуться на эту тему, пробовала на вход защищаемого через "mysqli_real_escaoe_string" подавать разное. Пока что ничего не сработало. Ок, может не до конца верно понимаю взаимодействие Php с таким запросом, в конце концов, может PHP как-то ломает SQL синтакс? Проверяла разные примеры из методичек по SQL инъекции. Безрезультатно. Наткнулась на эту тему, стало реально интересно. Ну, думаю, здесь-то точно дадут пример SQL-инъекции, что 100% сработает. Проверяю - та же фигня.

P.S. Я признаю, что подготовленные запросы безопаснее, надёжнее, а mysqli вообще не про это. Но мне нужен работающий пример SQL инъекции через mysqli чтобы пройтись по всем спорным местам и отловить уязвимые для инъекции места.

[FanatPHP]

Etherata, фигня здесь только у кого-то в голове.
Если же голову применить по назначению, то вдруг выяснится, что та же беда будет и без всякой "mysqli_real_escaoe_string". Внезапно, если её совсем убрать, и повторить свои глубокомысленные эксперименты, то таблица testtable тоже останется на месте.
Какой мы сделаем из этого вывод? Что от инъекций защищает не только mysqli_real_escape_string, но даже её отсутствие!

[Etherata]

FanatPHP, тогда я действительно не понимаю про SQL-инъекции.

$id = "1; DROP TABLE users;"
$id = mysqli_real_escape_string($link, $id);
$query = "SELECT * FROM users where id = $id";

Ваш пример выше.
Объясните тогда, почему это вариант должен работать, а вариант где вместо таблицы users - таблица testtable - нет?
-----
Стоп. потому что в вашем слчае идёт селект из той же таблицы, которую дропаешь?

[FanatPHP]

Etherata, по поводу P.S.
Это редкостная чушь.
"Пример инъекции" вообще никак не поможет, по каким местам им ни "проходись". Потому что инъекция, как я уже говорил, это не какое-то заветное слово, которое где ни напиши - везде сразу даст доступ к БД и ключи от квартиры где деньги лежат. Инъекция, как я уже говорил - это SQL. Все время разный. Где не сработает один, сработает другой. Где не сработает другой, надо сидеть трое суток и кропотливо подбирать третий.
А вот так "ну я щас одной левой найду все инъекции, только волшебное слово узнать!" - это совсем уж детсадовского уровня фантазии.

И это при том, что чтобы найти инъекцию, успешная атака ВООБЩЕ не обязательна. Чтобы найти инъекцию, достаточно только показать её возможность. Что и продемонстрировано мной в примере выше. Приведенный запрос уязвим, поскольку позволяет себя модифицировать. А уж какая модификация сработает, а какая - нет, с точки зрения ЗАЩИТЫ мне не интересно.

[FanatPHP]

Etherata, ещё раз.
Я не объясняю что этот вариант "должен" работать.
Я объясняю, что то, что он у вас не работает, не имеет никакого отношения к наличию или отсутствию функции mysqli_real_escape_string
А вы именно из-за неё сюда пришли.

Имя таблицы в данном случае не имеет значения. Оно может быть любым. Дело не в имени, а в том, что если убрать из примера mysqli_real_escape_string, то результат будет тот же самый -
если таблица не удаляется с mysqli_real_escape_string, то и без этой функции она останется на месте

[Etherata]

Понятно... Спасибо!

Действительно раньше считала, что весь подбор SQL-инъекции сводится к угадыванию структуры базы, отчего думала, что существует "универсальная" фраза, где только поменять названия базы на существующее или что-то такое. И понимала, что что-то не понимаю, когда все банальные примеры из методичек по инъекциям отказывались работать.

[FanatPHP]

Etherata, чтобы найти инъекцию, надо чтобы запросы сообщали об ошибках.
Если запрос SELECT * FROM users where id = 1; drop table testtable; не сможет выполниться, то он вызовет синтаксическую ошибку. Что будет означать возможность инъекции.
А запрос вида SELECT * FROM users where id = '1; drop table testtable;' ошибку не вызовет. Следовательно, он безопасен.
Но нам надо чтобы ошибка была в любом случае, а не только когда запрос не сработал.
поэтому надо сделать заведомо ошибочный запрос.
Например, SELECT * FROM users where id = 1'
То есть передавать в запрос 1'

Если код сообщает программисту об ошибках, то этим "волшебным словом" можно вполне тестировать на уязвимости.
Примечание: об ошибках код должен сообщать только программисту. А не вываливать, как это принято у вайтишников, все кишки прямо наружу. Потому что сообщение об ошибке - это самое ценное, что только может помочь атакующему.

[Etherata]

FanatPHP, для строки он всё кушает и не выдаёт ошибок(
Специально сейчас настроила, чтоб в файл лога писал и запрос, какой реально до базы дошёл и ошибка.
Так он всё заковычивает, "лишнюю часть" просто считает легальной частью строки, не модифицируя запрос. А если дать ему кавычек во входе, экранирует их слешами и съедает как ни в чём ни бывало(
Но там на вход он ждёт именно строку, а не число.

[FanatPHP]

Etherata, если используется и mysqli_real_escape_string и кавычки, то и не будет ошибок. В этом-то смысл этой функции и заключается. Она корректно форматирует строки, как раз чтобы не было ошибок. А не будет ошибок - не будет и инъекции.