"используй хранимки - и про инъекции забудешь" - так ли это? / MySQL

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / MySQL [игнор отключен] [закрыт для гостей] / "используй хранимки - и про инъекции забудешь" - так ли это?

22 сообщений из 22, страница 1 из 1

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198666

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

kormot,
используй хранимки - и про инъекции забудешь.

...

Рейтинг:

0 / 0

23.03.2016, 12:00

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198670

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

вадяkormot,
используй хранимки - и про инъекции забудешь.Это миф. Хранимки никак не влияют на возможность инъекции, ни положительно, ни отрицательно.

Вот параметризованные запросы - да, помогают.

...

Рейтинг:

0 / 0

23.03.2016, 12:02

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198673

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

miksoftвадяkormot,
используй хранимки - и про инъекции забудешь.Это миф. Хранимки никак не влияют на возможность инъекции, ни положительно, ни отрицательно.

Вот параметризованные запросы - да, помогают.
это не миф - я проверил
попытка инъекции вызывает ошибку

...

Рейтинг:

0 / 0

23.03.2016, 12:06

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198675

miksoft

Участник

Сообщения: 36 746

Рейтинг: 0 / 0

вадяmiksoftпропущено...
Это миф. Хранимки никак не влияют на возможность инъекции, ни положительно, ни отрицательно.

Вот параметризованные запросы - да, помогают.
это не миф - я проверил
попытка инъекции вызывает ошибкуЗначит та же самая ошибка может быть воспроизведена и без хранимки.

...

Рейтинг:

0 / 0

23.03.2016, 12:07

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198678

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

miksoftвадяпропущено...

это не миф - я проверил
попытка инъекции вызывает ошибкуЗначит та же самая ошибка может быть воспроизведена и без хранимки.
ты проверь, прежде чем утверждать

...

Рейтинг:

0 / 0

23.03.2016, 12:09

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198680

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

miksoft,

и эта тема уже поднималась. и было доказано, что хранимки спасают от инъекций

...

Рейтинг:

0 / 0

23.03.2016, 12:11

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39198684

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

miksoft,
дажже с использованием PREPARE.
идет выполнение до ;

...

Рейтинг:

0 / 0

23.03.2016, 12:13

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199215

tanglir

Участник

Сообщения: 30 379

Рейтинг: 0 / 0

вадяmiksoft,

и эта тема уже поднималась. и было доказано, что хранимки спасают от инъекцийНу давай тогда ссылку, посмотрим, кому они помогают и как.

...

Рейтинг:

0 / 0

24.03.2016, 04:59

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199222

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

tanglir,
проще самому проверить, чем искать.
я проверил, для меня этого достаточно.

...

Рейтинг:

0 / 0

24.03.2016, 06:32

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199252

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

tanglir,
нашёл 15720221
а недавно проверил и для PREPARE
не удалось вставить инъекцию, как ни старался .....

...

Рейтинг:

0 / 0

24.03.2016, 08:23

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199318

tanglir

Участник

Сообщения: 30 379

Рейтинг: 0 / 0

15749006 Не знаю, как оно у тебя ничего не выводит...

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.

USE `test`;
CREATE TABLE `ololo` (
	`id` INT(11) NOT NULL,
	PRIMARY KEY (`id`)
)
COLLATE='utf8_general_ci'
ENGINE=InnoDB
;
CREATE TABLE `trololo` (
	`id` INT(11) NOT NULL,
	PRIMARY KEY (`id`)
)
COLLATE='utf8_general_ci'
ENGINE=InnoDB
;
INSERT INTO `test`.`ololo` (`id`) VALUES (1);
INSERT INTO `test`.`trololo` (`id`) VALUES (0),(1),(2),(3),(4),(5),(6),(7),(8),(9);
delimiter //
CREATE DEFINER=`root`@`%` PROCEDURE `sp_ololo`(IN `Param1` VARCHAR(255))
	LANGUAGE SQL
	NOT DETERMINISTIC
	READS SQL DATA
	SQL SECURITY DEFINER
	COMMENT ''
BEGIN
declare str varchar(255);
set @str = concat("select * from ololo where id=",Param1);
prepare stmt from @str;
execute stmt;
deallocate prepare stmt;
END//
delimiter ;
call sp_ololo('1'); -- моментально
call sp_ololo('(
select q1.id
from trololo q1
cross join trololo q2
cross join trololo q3
cross join trololo q4
cross join trololo q5
cross join trololo q6
order by rand()
limit 1
)') -- занимает несколько сеунд

...

Рейтинг:

0 / 0

24.03.2016, 10:02

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199321

tanglir

Участник

Сообщения: 30 379

Рейтинг: 0 / 0

Удаление, конечно не сработает - prepare принимает только один запрос. А вот ддос - вполне себе вариант.

...

Рейтинг:

0 / 0

24.03.2016, 10:03

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199363

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

tanglirУдаление, конечно не сработает - prepare принимает только один запрос. А вот ддос - вполне себе вариант.
а засунуть такое в параметризированный запрос ?

...

Рейтинг:

0 / 0

24.03.2016, 10:57

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199405

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

tanglir,
вариант интересный, но "не опасный"
он только загрузит сервер, если знать структуру базы, но просто не вернёт никаких данных..
да и если where id=, а параметр строка - то как бы и поделом за такое.

...

Рейтинг:

0 / 0

24.03.2016, 11:35

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199484

tanglir

Участник

Сообщения: 30 379

Рейтинг: 0 / 0

вадяда и если where id=, а параметр строка - то как бы и поделом за такое.ну как бы о том и речь, в исходной теме ТС как раз собирал запрос по кусочкам.

...

Рейтинг:

0 / 0

24.03.2016, 12:08

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199492

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

вадяон только загрузит сервер, если знать структуру базы
Ну загрузить он сервер может так, что тот ляжет.
Да и не нужна структура базы, ибо вместо абстрактной trololo можно пообщаться, например, с объектами из INFORMATION_SCHEMA...

...

Рейтинг:

0 / 0

24.03.2016, 12:12

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199544

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

Akina,
ну какие-то правила безопасности надо собюдать....
но ведь и входные параметры хранимки и есть соответствие параметрам в парамер....м запросе.
так что и его можно таким образом использовав завесить сервер

...

Рейтинг:

0 / 0

24.03.2016, 12:36

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199798

javajdbc

Участник

Откуда: Montreal

Сообщения: 18 207

Рейтинг: 0 / 0

вадяно ведь и входные параметры хранимки и есть соответствие параметрам в парамер....м запросе

...нет, в обшем случае фраза неверная....

...

Рейтинг:

0 / 0

24.03.2016, 14:50

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39199949

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

javajdbcвадяно ведь и входные параметры хранимки и есть соответствие параметрам в парамер....м запросе

...нет, в обшем случае фраза неверная....
обоснуй

...

Рейтинг:

0 / 0

24.03.2016, 16:56

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39200114

MasterZiv

Участник

Откуда: Питер

Сообщения: 32 427

Рейтинг: 0 / 0

вадяkormot,
используй хранимки - и про инъекции забудешь.

это почти так.
чтобы было так на 100% нужно выполнить еще два условия:
- не использовать языковые запросы при вызове процедуры, т. е. выполнять процедуры всегда через средства CLI API клиента в виде "процедура"( параметр =значение,...)
- не использовать в процедурах exec динамически формируемого текста запроса.

при этом соблюдается одно простое и необходимое правило - данные никогда не интерпретируются как код на SQL.

...

Рейтинг:

0 / 0

24.03.2016, 20:58

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39200121

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

MasterZiv,
как показал пример tanglir
даже динамичеие запросы в хранимках могут только затормозить сервер, и то если не грамотно задавать параметры

...

Рейтинг:

0 / 0

24.03.2016, 21:11

| Ответить | Цитировать | Написать

"используй хранимки - и про инъекции забудешь" - так ли это?

#39200169

javajdbc

Участник

Откуда: Montreal

Сообщения: 18 207

Рейтинг: 0 / 0

вадяjavajdbcпропущено...

...нет, в обшем случае фраза неверная....
обоснуй

...хранимая процедура ничем принципиально не отличается от
програмного блока на любом другом языке.
Вы можете накосячить в ней не меньше чем на джаве или
на ПХП. Немного попрограмируете -- поймете сами...

...

Рейтинг:

0 / 0

24.03.2016, 23:30

| Ответить | Цитировать | Написать

22 сообщений из 22, страница 1 из 1

Форумы / MySQL [игнор отключен] [закрыт для гостей] / "используй хранимки - и про инъекции забудешь" - так ли это?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=47&msg=39199252&tid=1832015]:	0ms
get settings:	9ms
get forum list:	20ms
check forum access:	3ms
check topic access:	3ms
track hit:	158ms
get topic data:	11ms
get forum data:	2ms
get page messages:	77ms
get tp. blocked users:	1ms
others:	246ms

total:	530ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы