Процедуры и функции против инъекций MySQL / MySQL

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / MySQL [игнор отключен] [закрыт для гостей] / Процедуры и функции против инъекций MySQL

9 сообщений из 9, страница 1 из 1

Процедуры и функции против инъекций MySQL

#40098528

volosoed

Гость

Добрый день! Переделываю код, хочу чтобы БД была устойчива к инъекциям.
Для тестов создал копию стандартной БД world с таблицей city, которая содержит названия городов, код страны и т.д.
Беру пример неправильно составленной процедуры и примера инъекции из учебника (адаптировал запрос под свою БД, данная процедура получает на входе буквенный код страны, а затем выдает кол-во городов этой страны из БД):

Код: plsql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

use test1;
drop procedure if exists proc_test_sql;
delimiter $$
create procedure proc_test_sql(in i1 char(200))
begin
    set @s=concat('select count(*) from test1.tablecity where countryCode=\'', i1, '\';');
    PREPARE stmt FROM @s;
    EXECUTE stmt;
end$$
delimiter ;

Пример добросовестного использования:

Код: plsql

call proc_test_sql('rus');

Пример инъекции:

Код: plsql

call proc_test_sql('rus\' or CountryCode=\'usa');

Т.е что происходит, автор создает в теле процедуры строку с запросом, которую потом использует как запрос... Потом героически пытается справиться с ситуацией, справляется, но так и не избавляется от формирования запроса в строке...
Вопрос, почему нельзя написать процедуру сразу так:

Код: plsql

1.
2.
3.
4.
5.
6.
7.
8.

use test1;
drop procedure if exists proc_test_sql;
delimiter $$
create procedure proc_test_sql(in i1 char(200))
begin
	select count(*) from test1.tablecity where countryCode=i1;
end$$
delimiter ;

Зачем мне нужно формировать запрос в строке, если я могу его сразу сформировать в теле процедуры? Разве не в этом их фишка?
И насколько я понял, такая процедура устойчива к инъекциям, сколько бы кавычек и попыток что-либо отправить в i1 не было - она всегда остается переменной. Или я не прав, и такая запись процедуры тоже уязвима?

...

Рейтинг:

0 / 0

19.09.2021, 16:33

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098539

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

volosoed,

существует вариант с параметрами
https://dev.mysql.com/doc/refman/8.0/en/sql-prepared-statements.html
это раз
зачем юзеру давать структуру и поля таблиц?
это два.

...

Рейтинг:

0 / 0

19.09.2021, 18:14

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098540

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

volosoed

Зачем мне нужно формировать запрос в строке, если я могу его сразу сформировать в теле процедуры? Разве не в этом их фишка?

это показано как не надо делать.
первая продемонстрированная глупость char(200) в то время как длина параметра может быть не более 3 символов

вторая продемонстрированная глупость where countryCode выборка по полю char. вместо int.

...

Рейтинг:

0 / 0

19.09.2021, 18:17

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098629

volosoed

Гость

вадя,
Спасибо, вариант с параметрами будет выглядеть так:

Код: sql

1.
2.
3.

SET @s = 'select count(*) from test1.tablecity where countryCode = ?';
PREPARE stmt FROM @s;
EXECUTE stmt USING @name;

У меня вопрос, как передать в строку запроса более одного параметра? Это вообще возможно?

вадязачем юзеру давать структуру и поля таблиц?
Вот тут немного не понял, каким образом структура и поля таблиц становятся открытыми, если записать

Код: sql

select count(*) from test1.tablecity where countryCode=i1;

а не в строке запрос?

...

Рейтинг:

0 / 0

20.09.2021, 11:41

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098635

Melkij

Участник

Откуда: Санкт-Петербург

Сообщения: 1 447

Рейтинг: 0 / 0

volosoed

У меня вопрос, как передать в строку запроса более одного параметра? Это вообще возможно?

https://dev.mysql.com/doc/refman/8.0/en/execute.html

Код: plaintext

EXECUTE stmt_name
    [USING @var_name [, @var_name] ...]

синтаксис ни о чём не говорит?

...

Рейтинг:

0 / 0

20.09.2021, 11:50

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098653

volosoed

Гость

Понял, вот пример добавления двух разных кодов:

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

use test1;
drop procedure if exists proc_test_sql;
delimiter $$
create procedure proc_test_sql(in i1 char(200), in i2 char(200))
begin
	SET @x1=i1;
	SET @x2=i2;
	SET @s1 = 'select count(*) from test1.tablecity where CountryCode = ? or CountryCode = ?';
	PREPARE stmt1 FROM @s1;
	EXECUTE stmt1 USING @x1, @x2;
end$$
delimiter ;
call proc_test_sql('rus','chn');

Но я так и не понял преимуществ построения запроса в строке =)

...

Рейтинг:

0 / 0

20.09.2021, 12:45

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098660

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

volosoed

я так и не понял преимуществ построения запроса в строке

Попробуй без этого построить сводный запрос (pivot) с динамическим набором значений...

...

Рейтинг:

0 / 0

20.09.2021, 13:01

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098724

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

volosoed

Но я так и не понял преимуществ построения запроса в строке =)

есть много разных случаев когда строка запроса заранее не определена.
какой вариант использовать - дело программиста - его опыта.
в примере вариант чисто для демонстрации. использовать его как образец для подражания нельзя.

...

Рейтинг:

0 / 0

20.09.2021, 16:40

| Ответить | Цитировать | Написать

Процедуры и функции против инъекций MySQL

#40098898

volosoed

Гость

Спасибо, понял.

...

Рейтинг:

0 / 0

21.09.2021, 10:38

| Ответить | Цитировать | Написать

9 сообщений из 9, страница 1 из 1

Форумы / MySQL [игнор отключен] [закрыт для гостей] / Процедуры и функции против инъекций MySQL

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/search_topic.php?author=%D0%A1%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D0%B8%D1%86%D0%B0&author_mode=last_topics&do_search=1]:	0ms
get settings:	10ms
get forum list:	14ms
get settings:	11ms
get forum list:	13ms
check forum access:	4ms
check topic access:	4ms
track hit:	152ms
get topic data:	12ms
get forum data:	3ms
get page messages:	48ms
get tp. blocked users:	2ms
others:	441ms

total:	714ms