SQL инъекция в UPDATE возможна ли?

Question

[Sazanovdm]

Есть запрос формата:
UPDATE table SET test WHERE id = $id

Вопрос состоит лишь в том, имеет ли смысл делать кукую-либо защиту от SQL инъекций, т.к. если я правильно понимаю на UPDATE запросы они не распространяются?

Answer 1

[FanatPHP]

Инъекция может быть через любой запрос.
И защищать тоже надо любые запросы.
Никогда не надо торговаться, "а можно я не буду защищать именно этот запрос? Ну мааааам!"
Надо просто всегда следовать простым правилам - любая переменная попадает в запрос только через плейсхолдер

Важно понимать, что в рассуждениях про инъекции люди постоянно путают два понятия - самой уязвимости, и конкретных способов ей воспользоваться.

Уязвимость — это сама возможность с помощью переданных в запрос данных изменить его код.
Даже если ты не знаешь ни одного способа ей воспользоваться, уязвимость от этого никуда не девается.
Даже если та возможность, про которую ты знаешь, в данном случае не прокатит - остаются ещё тысячи других.
Если есть уязвимость, то способы ей воспользоваться всегда найдутся.

То есть сама уязвимость никак не зависит ни от каких второстепенных факторов - типа запроса, передаваемых данных, способов их валидации, твоих знаний SQL. Это сам факт. Можно подставить свой код в запрос? Значит он уязвим. А как конкретно можно нагадить - это отдельная тема.

Кроме того, любая уязвимость - это всегда ошибки. Если в $id будет пусто, то запрос вызовет ошибку. Если в $id будет слово select то запрос вызовет ошибку. Если будет слово "привет", то запрос вызовет ошибку. Оно тебе надо?

При этом разных вариантов возможных ошибок и способов воспользоваться уязвимостью - тысячи, им посвящены целые учебники и статьи. Но для того чтобы защищаться, не надо знать ни одного. Потому что защищаться надо не от отдельных способов эксплуатации, а закрывать саму уязвимость. И сделать это очень просто:

1. Любые данные должны добавляться в запрос только через плейсхолдеры
   
2. Любые другие элементы запроса должны выбираться из белого списка - заранее прописанных в нашем коде значений.
   

Если вопрос "а можно я не буду защищаться?" вызван ленью, то это тоже решаемо. В принципе, лень - это очень важное качество для программиста. Главное - направить её в нужное русло.

Если каждый раз писать по три строчки долго

$sql = "INSERT INTO users SET email = ?, password = ?"; // заменяем на знаки вопроса
$stmt = $db->prepare($sql); // подготавливаем запрос, получаем stmt
$stmt->bind_param("ss", $email, $hash); // два знака вопроса - две переменных - две буквы s
$stmt->execute(); // выполняем запрос

То надо воспользоваться такой вещью, как программирование. И написать функцию, которая возьмет на себя всю рутинную работу.

function prepared_query($mysqli, $sql, $params, $types = "")
{
    $types = $types ?: str_repeat("s", count($params));
    $stmt = $mysqli->prepare($sql);
    $stmt->bind_param($types, ...$params);
    $stmt->execute();
    return $stmt;
}

и в итоге предыдущие 4 строчки превратятся в одну:

prepared_query($db, "INSERT INTO users SET email = ?, password = ?", [$email, $hash]);

или твой запрос:

prepared_query($db, "UPDATE table SET test WHERE id = ?", [$id]);

- просто, быстро, удобно и безопасно

Comments

[John Didact]

Зачем для разового обновления использовать подготовленные запросы? Я уже давно понял, что в сообществе трупрограммистов очень много религиозных людей, но всё же спрошу: чем плох settype или var = (int) var; в данном случае то?

[FanatPHP]

John Didact, ну сделай $email = (int) $email и посмотри что получится.

[John Didact]

FanatPHP, фразу «в данном случае то» я не просто так написал)
А e-mail, думаю, стоит вообще регуляркой проверять.

[Kovalsky]

Оправдал своё звание чебуратора PHP. Спасибо! Хороший ответ

[FanatPHP]

John Didact, ну вот ты и ответил на свой вопрос.
вместо 100500 регулярок, settype, (int) и прочих разнообразных плясок народов севера, один простой надежный механизм.

[Армянское Радио]

John Didact, Знаете сколько километров в длину имеет регулярка для полной проверки имейла на валидность по RFC?

[John Didact]

Фокс Йовович, ну это для задротов) в высокоуровневых ЯП достаточно указать диапазон символов)

[John Didact]

FanatPHP, это не пляски, для одного запроса необходимы конкретные данные. В случае автора, число. Всё. В другом случае, емайл, всё. Всё в одну строку. Для других данных, объёмных или неизвестных, да, можно и в сторону подготовленных посмотреть.

[FanatPHP]

John Didact, это и есть пляски :) вместо одного стандартного способа - метаться между десятком.
пока ты колупаешь процедурный говнокод, в котором у тебя в одной шведской семье свалены в кучу SQL, HTML, PHP, JS и какие нибудь ещё извращения - то тебе да, других забот нет кроме как сидеть морщить умишко, "а каким мы сегодня будем способом выполнять запрос?". А когда немножко поумнеешь и станешь писать код посложнее, то будут и проблемы поважнее, чтобы себя занять.

[FanatPHP]

) в высокоуровневых ЯП достаточно указать диапазон символов)

это ты серьёзно сейчас написал? я понимаю что ты тут за клоуна, но зачем так подставляться-то?
при чем здесь "высокоуровневые ЯП?" причем здесь "диапазон символов"?

[John Didact]

FanatPHP, ты вроде давно уже в программировании, сам говоришь, типа не кодер и т.д. Ты ведь должен знать, что подготовленные запросы — это не универсальный механизм защиты, а один из… Помимо того, что могут подменить запрос, могут ещё невалидные данные отправить, типа вместо e-mail строку, вида простоСтрокаДажеБезСобачки. Тебе всё равно нужно проверить приходящие на сервер данные на валидность. Да и вообще, я считаю, что подготовленные запросы не столько для защиты предназначены, сколько для множественных шаблонных запросов, так сказать.

[John Didact]

FanatPHP, и докапываясь до слов:
1) говнокод у меня не процедурный, а объeктно-ориенированный)
2) шведская семья — это стереотип
3) у меня ничего не свалено в одну кучу, но шаблонизатором считаю сам PHP

[FanatPHP]

Да и вообще, я считаю, что подготовленные запросы не столько для защиты предназначены,

Знаешь кого ты сейчас сейчас напоминаешь? Специалиста из этого анекдота

Ты себе кажешься офигенно умным, но на самом деле ты дурак-дураком, потому что дальше собственного носа не видишь. У тебя этот settype один в целом мире, ты мыслишь даже не строками кода, а отдельными командами. Посмотреть в масштабе приложения у тебя умишка не хватает. И даже представить себе не можешь, что что валидация входящих данных и работа с БД только у твоем воробьином говнокоде происходит в одном и том же месте. А в нормальном приложении код для работы с БД вообще не знает что там у тебя за формат - емейл или любовное послание с сердечками.

Да, я б****, давно в программировании. С большой долей вероятности - задолго до твоего вылупления на свет.
Есть такое выражение - "уставы пишутся кровью". Вот "использовать только подготовленные" - это и есть такой устав. Не потому что "религия", а потому что это простое в применении и однозначное правило. А весь твой зоопарк вприсядку - "тут регулярочка, там проверочка, тут типчик подхимичить , а здесь вообще не надо потому что данные и так безопасные" - это умные люди проходили уже сто раз, и сто раз дерьма на этом наелись.

[John Didact]

FanatPHP, ты вообще понимаешь, что я тебе пишу?) Я тебе не сказал, что исключительно для множественных запросов… перечитай ещё раз. А "анекдот" на анекдот вообще не похож)
Меня так прикалывает, когда ты с пеной у рта что-то пытаешься доказать))) я даже не обижаюсь на твои "вылупления", "дурак-дураком" и прочее. Это прикольно)

Мыслю я мыслями, а не строками или командами.
В нормальном приложении? Ну ок, пусть в нормальном приложении БД не знает, какие данные она ожидает, это право нормальных приложений и суперистинныхпрограммистов, не буду спорить.
Вот как лично "дерьма на этом наемся", тогда и наемся. А всё это "только это и только так" реально больше похоже на религию, а не на правило.

[Kovalsky]

John Didact, "Вот как лично "дерьма на этом наемся", тогда и наемся" - звучит странно. Вы не очень хорошо представляете зачем существуют форумы и институт образования в целом, да? Тостер, хабр, stackoverflow существуют именно для обмена опытом, для того что никому ничего не пришлось есть. И чебуратор как раз сейчас с вами поделился опытом - рассказал что для меньшей крови стоит пользоваться prepared statements

"Меня так прикалывает, когда ты с пеной у рта что-то пытаешься доказать)))" - вы знаете, я недавно провел эксперимент: вместо тупых споров с фанатом задал ему конкретные вопросы по конкретным его высказываниям. И - шок - в ответ он вместо тупых споров (как в вашей переписке выше) разобрал мои конкретные вопросы по его конкретным высказываниям. Из этого можно сделать вывод, что мб он и в большой степени деформированный, но очень опытный и легко идущий на контакт разработчик, готовый делиться знаниями. Так что задавать ему интересующие вас вопросы и перенимать опыт или тешиться едкими (и часто неуместными) комментариями в адрес человека которому на это толком наплевать - тут выбор за вами. Мне первое кажется более целесообразным. Если конечно у вас цель вырасти в плане искусства разработки

ЗЫ: про шведскую семью и диапазон символов это было вкусно, спасибо

[FanatPHP]

John Didact, на самом деле тут вопрос между "что в теории можно применить в каких-то конкретных случаях" и "что следует применять как самый надёжный вариант на практике".

Да, разумеется, "один из.". Да, есть много других вариантов, еще и таких про которые ты не знаешь. Какое-нибудь хекс кодирование или хранимые процедуры. Да, в теории каждый из них по отдельности работает, при соблюдении специфичных условий, своих для каждого. С этим я в сущности не сморю. Можешь и дальше бегать и демонстрировать всем глубину познаний и оригинальность мысли. Если больше нечего.

Но у этого зоопарка есть три большие проблемы:
- собственно количество. каждый раз бегать между способами и решать какой сейчас применить - это прямая дорога к тому чтобы что-то напутать
- молчаливый пропуск инъекции, если ты напутал со способами. Самый классический вариант когда экранирование применяется не для строк. Запрос отработает прекрасно, все довольны, а особенно вреднюки, которым все дороги в кишки сайта открыты.
- принципиальная отделимость обработки данных от выполнения запроса. При использовании плейсхолдеров все происходит прямо при выполнении запроса. А при использовании твоих "вариантов" такие вот вундеркинды всегда выдумывают какой-нибудь способ "автоматизировать", централизовать обработку, сделать заранее. И в итоге изобретают очередные волшебные кавычки. Которые в итоге ни от чего не защищают, а только портят данные. Ты мальчик любознательный - почитай про историю волшебных кавычек, как они в языке появились, и как их в ужасе выпинали.

Мне кстати интересно, что зумеры принимают за анекдоты? Чем они отличаются от обычных?

[xukapy]

Дополнительно, prepared statements с bind подстановками дают буст производительности. Не использовать bind переменные считается антипаттерном. Запросы перестанут вытеснятся с кэша.

[FanatPHP]

xukapy, не дают они никакого прироста. Скорее наоборот. Но в целом там не о чем говорить, ни в ту ни в другую сторону.

[Vitsliputsli]

xukapy, улучшение производительности путем prepared statements действительно очень сомнительно. Построение плана достаточно быстрое действие по сравнению с остальными, выигрыш на этом ничтожен. А если мы говорим про MySQL, то там кеширование плана происходит только в рамках текущей сессии, т.е. если речь не про демоны поддерживающие постоянное подключение, то смысла нет совсем, ProxySQL, насколько знаю, тоже не сильно хорошо работает с ними. До последних версий 8ки MySQL (многие до сих пор используют 5.7, считая 8ку "сырой") не имел нормальной поддержки prepared statements, только эмуляцию, вероятно именно это причина возможности sql-инъекций при использовании prepared statements для китайских кодировок. Кроме этого, каждый такой запрос требует 3 сетевых запроса, что негативно влияет на производительность.
Т.е. используя prepared statements вы получаете наилучшую сейчас защиту от инъекций, если не используете китайские кодировки в MySQL, с незаметной для обычных проектов потерей производительности (а в последних версиях и вовсе незначительной).

[FanatPHP]

Vitsliputsli, ну и каша

не имел нормальной поддержки prepared statements, только эмуляцию, вероятно именно это причина возможности sql-инъекций при использовании prepared statements для китайских кодировок.

это чушь. и про mysql и тем более про инъекции. учи матчасть

Кроме этого, каждый такой запрос требует 3 сетевых запроса,

откуда там три-то? Это риторический вопрос. На знание матчасти, а не фантазий системы "что вижу про то и пою"

а в последних версиях и вовсе незначительной.

а это еще что откуда? В последних версиях количество обращений к БД сократилось до 1.5 что ли?

[Vitsliputsli]

FanatPHP, ну так научи, а не просто "что вижу про то и пою".

[Vitsliputsli]

FanatPHP, подучил матчасть.
Вопрос с китайскими кодировками похоже уже поправили, но в любом случае экранирование не гарантирует 100% безопасности. Насчет эмуляции действительно неверно написал, тут вопрос не к MySQL, а к PDO использующему эмуляцию по-дефолту. Насчет производительности спорить не буду, вопрос неоднозначный.
А насчет этого:

откуда там три-то? Это риторический вопрос. На знание матчасти, а не фантазий системы "что вижу про то и пою"

учи матчасть.

[FanatPHP]

Vitsliputsli, вот, теперь гораздо лучше.

Про производительность родных подготовленных выражений вопрос однозначный как три копейки - он не менялся со времен царя гороха: незначительный оверхед за счет лишнего похода в БД. Никаких изменений в последних версиях не было и быть не могло.

Ну а насчет матчасти - вот и займись ей. Бери wireshark, смотри сколько там "сетевых запросов" будет
Впрочем, можно просто подумать, а нафига там три-то? :)

[Vitsliputsli]

FanatPHP, совсем никаких изменений? Даже если смотреть чисто документацию, в 8 исчезли ограничения кеширования prepared statements, связанные с тем, что бинарный протокол смотрел только запросы бинарного протокола, не обращая внимания на текстовой.

Ну а насчет матчасти - вот и займись ей. Бери wireshark, смотри сколько там "сетевых запросов" будет
Впрочем, можно просто подумать, а нафига там три-то? :)

Так возьми wireshark, открой документацию, ознакомься с теорий и сам ответь на вопрос зачем 3 запроса: prepare, execute, deallocate prepare.

[FanatPHP]

Vitsliputsli, а зачем для deallocate prepare отдельный запрос-то?

[Vitsliputsli]

FanatPHP, ну как зачем, после prepare в памяти сервера постоянно будет висеть подготовленное выражение, соответственно должен быть способ его убрать. Хотя лимит на их кол-во большой, что-то около 16 тысяч, но на практике при уничтожении объекта prepared statements идет запрос deallocate prepare на сервер. Даже если его не уничтожать, он будет уничтожен при уничтожении объекта соединения, и все равно перед закрытием соединения полетят deallocate prepare.
У меня подготовленные выполняются на 12% медленнее эмулированных (без переиспользования), для MySQL 5.7 и MySQL 8, причем в 8 все запросы работают медленней. Интересно то, что в PostgreSQL разницы нет, подготовленные выполняются также быстро, не смотря на необходимость большего кол-ва запросов по сети. Также интересно то, что PDO по-умолчанию выбирает эмуляцию для MySQL, и подготовленные для PostgreSQL. Проверял на php, не думаю что есть разница, но надо бы попробовать в другом языке.

Answer 2

[N]

Смысл есть!

UPD:
Поясню...я тебе в $id передам 9999 or 1 = 1 и все записи нафиг потерпят изменения!

Comments

[Saboteur]

в id можно передать "99; drop all tables;"

[N]

Saboteur, Не всегда это сработает, но имеет место быть.

Answer 3

[Андрей Пике]

Точку с запятой можно впендюрить и продолжать запрос.

UPDATE table SET test WHERE id = 0; DELETE * FROM users;

Comments

[N]

Не во всех БД...но имеет место быть.

[Андрей Пике]

N, я про MySQL, но можно было. Немного не в теме уже.
Неэкранирование спецсимволов (кавычек) было основной проблемой.
Как и использование Unicode.
Что сейчас - не могу сказать, надеюсь починили.

[N]

Андрей Пике, Он ещё отметил тег PHP...там "просто так" не прокатит точка с запятой для следующего запроса...
Хотя, смотря как он "это" будет применять в PHP...но в большинстве случаев будет - "мимо"...

[Андрей Пике]

Да я согласен полностью.
Я про то, что бронёй надо запасаться, и знать, как ломают обычно.
Но ломают же, как ни обложишся, не в ворота, так через чёрный ход.

В PHP через PDO решено, насколько знаю.
Но тоже legacy.

[N]

Андрей Пике, Да в любом случае все ответы верны...
Всегда надо проверять входящие данные...простое, но эффективное правило...

[Андрей Пике]

You're absolutely correct.
Handshake.