Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN / MySQL

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / MySQL [игнор отключен] [закрыт для гостей] / Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

21 сообщений из 21, страница 1 из 1

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39956765

jango77

Гость

Здравствуйте

Нужно передать список ID продуктов и получить в одном е данные по всем им

Подскажите, пожалуйста, каким наиболее безопасным образом реализовать хранимую процедуру в MariaDB такой логики:

Код: sql

1.
2.
3.
4.
5.
6.

CREATE PROCEDURE GetProductList(IN product_ids VARCHAR(255))
BEGIN

    SELECT * FROM TableA WHERE productID IN ( product_ids  )

END

Есть предположение использовать такую логику:

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

CREATE PROCEDURE GetProductList(IN product_ids VARCHAR(255))
BEGIN

SET @s = ' SELECT * FROM TableA WHERE productID IN ( ? ) '

PREPARE stmt FROM @s;
EXECUTE stmt USING @product_ids ;

END //;
DELIMITER

END

...

Рейтинг:

0 / 0

13.05.2020, 12:42

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39956998

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

jango77,

от каких инъекций?

...

Рейтинг:

0 / 0

13.05.2020, 17:18

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957035

jango77

Гость

вадя, SQL инъекций. Но возможно Вы хотели что-то боле конкретное?

...

Рейтинг:

0 / 0

13.05.2020, 18:03

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957043

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

jango77

вадя, SQL инъекций. Но возможно Вы хотели что-то боле конкретное?

да именно конкретнее.
потому как хранимки позволяют сделать 2 или 3 вида инъекций, чтоб от их защититься много усилий не надо, надо просто их знать

...

Рейтинг:

0 / 0

13.05.2020, 18:13

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957054

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

jango77,

что будет выводить

Код: sql

1.
2.
3.
4.
5.
6.

CREATE PROCEDURE GetProductList(IN product_ids VARCHAR(255))
BEGIN

    SELECT * FROM TableA WHERE productID IN ( product_ids  )

END

при 1,2,3 на входе , если известно что такие id есть?

...

Рейтинг:

0 / 0

13.05.2020, 18:30

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957063

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

Код: sql

SELECT * FROM TableA WHERE FIND_IN_SET( productID, product_ids  )

...

Рейтинг:

0 / 0

13.05.2020, 18:42

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957065

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Akina,

зачем подсказки?

...

Рейтинг:

0 / 0

13.05.2020, 18:45

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957100

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

А так - будем ещё неделю сопли жевать... просто за сегодня на разных форумах (включая англоязычные) аншлаг вопросов именно по этой теме, и никто мануалов не читал, причём, похоже, принципиально, и возможностей языка даже не представляет, так что ответы вылетают, считай, на автомате.

Всё равно основной вопрос, насчёт инъекций, остался. Ты попытай товарища, как он себе инъекцию представляет, и вообще, и в этом конкретном случае - авось таки повеселимся.

...

Рейтинг:

0 / 0

13.05.2020, 19:57

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957107

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Akina

Ты попытай товарища, как он себе инъекцию представляет, и вообще, и в этом конкретном случае - авось таки повеселимся.

я и пытался

вадя

jango77,

от каких инъекций?

автор просто за сегодня на разных форумах (включая англоязычные) аншлаг вопросов именно по этой темесессия близко?

...

Рейтинг:

0 / 0

13.05.2020, 20:08

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957134

jango77

Гость

сессия близко?

Последняя закончилась лет 10 назад

SELECT * FROM TableA WHERE FIND_IN_SET( productID, product_ids )

Также читал про такое решение, но отзывы были не в пользу защищенности такого способа. Якобы в него можно передать UNION инъекцию

Имел ввиду Конкатенацию строк и UNION, но прошу не судить строго. Раньше использовали параметры с точным INT значением в процедурах, не приходилось обращаться к защите от инъекций. Но теперь возникла задача с использованием оператора IN. Потому решил разузнать поподробней

По типам инъекций читал здесь https://defcon.ru/web-security/2784/
Информации много. Потому надеюсь на помощь, чтобы покрыть максимальное количество рисков

...

Рейтинг:

0 / 0

13.05.2020, 22:01

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957135

jango77

Гость

На самом деле по задаче параметр сравнивает не INT, а строковое значение в поле

Код: sql

IN product_names VARCHAR(255))

...

Рейтинг:

0 / 0

13.05.2020, 22:03

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957149

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

jango77,

надо читать грамотно, и проверять.
ну и понимать, что такое хранимая процедура.

вадя

jango77,

что будет выводить

Код: sql

1.
2.
3.
4.
5.
6.

CREATE PROCEDURE GetProductList(IN product_ids VARCHAR(255))
BEGIN

    SELECT * FROM TableA WHERE productID IN ( product_ids  )

END

при 1,2,3 на входе , если известно что такие id есть?

есть ответ?
для начала

...

Рейтинг:

0 / 0

13.05.2020, 22:38

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957155

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

jango77

Также читал про такое решение, но отзывы были не в пользу защищенности такого способа. Якобы в него можно передать UNION инъекцию

Блин, расскажи - как? хочу знать!!!

jango77

По типам инъекций читал здесь https://defcon.ru/web-security/2784/
Информации много. Потому надеюсь на помощь, чтобы покрыть максимальное количество рисков

Так это всё - про тех идиотов, которые получают от юзера ввод и, не глядя, втыкают его прямо в текст запроса!

...

Рейтинг:

0 / 0

13.05.2020, 22:59

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957600

jango77

Гость

есть ответ?
для начала

Да, отрабатывает как нужно

Блин, расскажи - как? хочу знать!!

В какой-то из тем на stackover. Но мог что-то не верно понять. Тот вопрос не нашел

Верно понял, функция FIND_IN_SET делает необходимую защиту от инъекций? Передаю в нее строковый параметр с названиями продуктов

...

Рейтинг:

0 / 0

14.05.2020, 17:22

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957701

Alex_Ustinov

Участник

Откуда: Nickel

Сообщения: 3 965

Рейтинг: 0 / 0

jango77,
автор

Код: sql

SELECT * FROM TableA WHERE productID IN ( product_ids  /* varchar255 */)

при "1,2,3" отрабатывает как надо?
авторДа, отрабатывает как нужно вы не проверили даже

весь прикол ответов-вопросов выше заключается в том что для входящего char-параметра (IN product_ids /* varchar255 */) используется FIND_IN_SET иначе запрос работать не будет
по-моему максимум отработает как

Код: sql

SELECT * ................ WHERE productID = 1

мозги запудрили вам и ничего не сказали толком об инъекциях...
почитайте о mysql_escape_string (неважно - mysql_, pdo_, mysqli_ или mysql_real_.....)

...

Рейтинг:

0 / 0

14.05.2020, 19:09

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957703

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

jango77

Верно понял, функция FIND_IN_SET делает необходимую защиту от инъекций?

Нет, конечно. Инъекция - это модификация текста запроса. Однако все давным-давно используют параметры, которые не являются текстов запроса, и в которые можешь хоть объинъектироваться...

...

Рейтинг:

0 / 0

14.05.2020, 19:10

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957718

jango77

Гость

Alex_Ustinov

вы не проверили даже

Проверил. Действительно отработал в правильным результатом.

Alex_Ustinov

почитайте о mysql_escape_string (неважно - mysql_, pdo_, mysqli_ или mysql_real_.....)

Хорошо. спасибо за совет

...

Рейтинг:

0 / 0

14.05.2020, 19:26

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957724

Alex_Ustinov

Участник

Откуда: Nickel

Сообщения: 3 965

Рейтинг: 0 / 0

jango77,

jango77Проверил. Действительно отработал в правильным результатом здесь не верю. Либо мы о разных запросах.
если не лень - пример того что передаете в процедуру.
запрос

Код: sql

select m.id from MyTable as m where m.id in ("1,2,3")

не может дать

Код: plaintext

1.
2.
3.

m.id
1
2
3

...

Рейтинг:

0 / 0

14.05.2020, 19:42

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957746

jango77

Гость

здесь не верю. Либо мы о разных запросах.
если не лень - пример того что передаете в процедуру.

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

DROP PROCEDURE IF EXISTS GetData;

DELIMITER $$
CREATE PROCEDURE GetData(IN proj VARCHAR(255))

BEGIN

    SELECT DISTINCT name FROM Table WHERE FIND_IN_SET (name, proj);

END $$;


CALL GetData('Telegram,Whatsapp,Amo')

Возвращает

Код: plaintext

1.
2.

Telegram
WhatsApp

Amo отсутствует в поле name

...

Рейтинг:

0 / 0

14.05.2020, 21:11

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957755

Alex_Ustinov

Участник

Откуда: Nickel

Сообщения: 3 965

Рейтинг: 0 / 0

вопрос Вади был о WHERE IN (Varchar) а не о FIND_IN_SET
авторjango77,

что будет выводить
CREATE PROCEDURE GetProductList(IN product_ids VARCHAR(255))
BEGIN

SELECT * FROM TableA WHERE productID IN ( product_ids )

END

при 1,2,3 на входе , если известно что такие id есть?
поэтому и было предположение, что вы ничего не проверяли, выдав заведомо неправильный запрос с WHERE IN ()

...

Рейтинг:

0 / 0

14.05.2020, 21:43

| Ответить | Цитировать | Написать

Как избежать риска инъекций в хранимой процедуре при использовании WHERE IN

#39957978

jango77

Гость

Alex_Ustinov

вопрос Вади был о WHERE IN (Varchar) а не о FIND_IN_SET

Понял. Спасибо всем за помощь в вопросе

...

Рейтинг:

0 / 0

15.05.2020, 13:40

| Ответить | Цитировать | Написать

21 сообщений из 21, страница 1 из 1

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=47&fpage=21&tid=1828578]:	0ms
get settings:	11ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	44ms
get topic data:	13ms
get forum data:	3ms
get page messages:	56ms
get tp. blocked users:	2ms
others:	343ms

total:	495ms