При соединении таблиц я использую модели SQL Zend Framework. В качестве примера я изменил свой реальный код, но я думаю, вы поймете:
$this->getSelect()->join(
array('sections' => $sectionsTableName),
'main_table.banner_id = pages.banner_id',
array()
)
->where("sections.section= '$section' OR sections.section = '0' OR (sections.section = '6' AND ? LIKE main_table.url)",$url)
->group('main_table.banner_id');
Страница загружается с помощью ajax, а параметр $ section отправляется как параметр GET ( www.example.com/controllerName/index/display/3?paremeter1=example§ion=www.example2.com
).
Теперь вот проблема, если кто-то выполняет что-то вроде этого:
www.example.com/controllerName/index/display/3?paremeter1=example&url=(SELECT 3630 FROM(SELECT COUNT(*),CONCAT(0x7170786a71,(SELECT (ELT(3630=3630,1))),0x717a716b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
Таким образом, пользователь может сбросить всю базу данных. Данные не будут отображаться, но SQL все равно выполнит дамп, который может вызвать перегрузку sql.
Вопросов:
- Как лучше всего предотвратить такой сценарий?
- Теперь я переживаю за предыдущих клиентов. Возможно ли с помощью этого кода совершить еще более рискованные действия, например, delate или alter table? Я думаю, не потому, что вы не можете поместить любой другой оператор, кроме SELECT внутри подвыбора, так что DELETE приведет к ошибке синтаксиса sql. Я прав?
ОБНОВЛЕНИЕ: Мой пример не является правильной иллюстрацией SQL-инъекции, потому что есть знак «$» вокруг разделов и, следовательно, сделать инъекцию невозможно. В любом случае это будет возможно при ожидании целочисленного значения и когда вы не фильтруете целочисленный ввод. Смотрите мой комментарий ниже.
'
перед (
знаком всегда будет стоять знак, и поэтому (SELECT
или что-то еще будет просто строкой, а не функцией. Если поле является целым числом, то '
оно не нужно, и это делает возможным такой сценарий. Но целое число всегда должно быть отфильтровано, intval()
так что это тоже не проблема.
'
? Так что ' AND (SELECT ...) '
? Кстати, я не думаю, что Zend не цитирует это ... И если вы используете привязки, то PDO справится с этим. Просто никогда не используйте жало конкатенации, как это:"sections.section= '$section'"
$db = Mage::getSingleton('core/resource')->getConnection('core_read');
и$db->quote()
даже в вашем случае посмотрите на$db->quoteInto
. Если$this
это ресурс, вы могли бы сделать:$this->getConnection('core_read')->quoteInto()
если это собрание можно сделать:$this->getResource()->getConnection('core_read')->quoteInto()
. вдоль этих линий. Если это поможет вам достичь цели.