SQL-инъекция без подготовленных операторов или параметризованных запросов

Question

SQL-инъекция без подготовленных операторов или параметризованных запросов

0

Я знаю, что по этому вопросу уже много вопросов, однако я не нашел конкретного ответа на мой вопрос.

Я создал простую функцию PHP, которая проверяет все введенные пользователем данные. Учитывая природу приложения, которое я разрабатываю, редко приходится использовать любые символы, кроме цифр и букв. Иногда запятые (,), дефисы (-), амперсанды (&) и одиночные кавычки ('). Моя функция PHP гарантирует, что все входные данные содержат только эти символы, а затем добавляет одну обратную косую черту перед каждым экземпляром одного из этих символов.

Я предполагаю, что если я гарантирую, что все входные данные отправляются с помощью этой функции перед использованием в запросе MySQLi, я не могу использовать SQL-инъекцию и не должен использовать готовые инструкции, параметризованные запросы и т.д. Только в отношении безопасности.

Я прав?

user3054325 11 янв. 2015, в 18:01

Источник

1

Можем ли мы спросить, почему вы хотите избежать параметризованных запросов?
Matt Gibson 11 янв. 2015, в 16:33
0

Параметризованные запросы имеют еще одно преимущество: ядро базы данных может оптимизировать и кэшировать план запросов, когда один и тот же запрос используется много раз, что повышает производительность. Почему бы не использовать их? У вас больше работы и вы рискуете самим с небезопасным решением.
Zanon 11 янв. 2015, в 16:36
1

user3054325, как @Zanon указывает на вас, есть ряд причин, по которым вы можете использовать готовые заявления.
Peter Darmis 11 янв. 2015, в 16:40
1

Параметризованные запросы не были изобретены для предотвращения SQL-инъекций , это имеет много преимуществ, как прокомментировал Zanon, и одно из них состоит в том, чтобы предотвратить общую идею SQL-инъекций.
dbf 11 янв. 2015, в 16:45
0

@MattGibson, причина, по которой я не хочу их использовать, заключается в том, что я хотел бы, чтобы мое приложение работало как можно скорее. Единственный способ реализовать такие запросы - установить mysqlnd. Что-то, что я понятия не имею, как сделать, даже после исследования всего Интернета. Я на Mac, и вам нужно использовать терминал с большим количеством команд, которые я не понимаю. В противном случае я могу использовать то, что я сейчас использую, привязать результаты к переменным и использовать mysqli_stmt_fetch while, чтобы получить результаты. Это работает, но недостатком этого является то, что у меня не может быть другого запроса в цикле, который мне нужен.
user3054325 13 янв. 2015, в 14:56
0

@ user3054325 Существует множество решений, которые позволят вам установить весь стек Apache / PHP / MySQL на Mac достаточно просто и бесплатно. MAMP , вероятно, самый известный пример. Вам действительно нужно разбираться в командной строке, если вы хотите создать дополнительные модули для PHP, который поставляется «встроенным» с OS X - но вам не нужно использовать его, если вы этого не хотите. Я действительно рекомендую разобраться в вашей среде разработки, чтобы вы могли использовать современные методы, а не избегать их из-за вашей среды.
Matt Gibson 13 янв. 2015, в 15:08
0

@MattGibson спасибо за ваш ответ. Я использую MAMP / Apache / PHP 5.4.3, однако в информации по PHP нигде не упоминается mysqlnd. Функция mysqli_stmt_get_result () не распознается. Посмотрев в Интернете, я нашел где-то заявление о том, что mysqlnd поставляется по умолчанию с PHP 5.3+ в среде Windows (WAMP), что наводит меня на мысль, что это не относится к MAMP ...?
user3054325 14 янв. 2015, в 13:34
0

Вы все еще должны иметь возможность использовать параметризованные запросы и подготовленные операторы, просто отлично. mysqli_stmt_get_result() предназначен для определенного типа подготовленной выборки результата оператора, которая не имеет ничего общего с параметризацией запроса. Если вы хотите избежать необходимости в mysqlnd, вы должны вместо этого использовать mysqli_stmt_bind_result() .
Matt Gibson 14 янв. 2015, в 14:27

Показать ещё 6 комментариев

Теги:

php

validation

mysqli

prepared-statement

parameterized-query

2 ответа

Ещё вопросы

Можем ли мы спросить, почему вы хотите избежать параметризованных запросов?
Параметризованные запросы имеют еще одно преимущество: ядро базы данных может оптимизировать и кэшировать план запросов, когда один и тот же запрос используется много раз, что повышает производительность. Почему бы не использовать их? У вас больше работы и вы рискуете самим с небезопасным решением.
user3054325, как @Zanon указывает на вас, есть ряд причин, по которым вы можете использовать готовые заявления.
Параметризованные запросы не были изобретены для предотвращения SQL-инъекций , это имеет много преимуществ, как прокомментировал Zanon, и одно из них состоит в том, чтобы предотвратить общую идею SQL-инъекций.
@MattGibson, причина, по которой я не хочу их использовать, заключается в том, что я хотел бы, чтобы мое приложение работало как можно скорее. Единственный способ реализовать такие запросы - установить mysqlnd. Что-то, что я понятия не имею, как сделать, даже после исследования всего Интернета. Я на Mac, и вам нужно использовать терминал с большим количеством команд, которые я не понимаю. В противном случае я могу использовать то, что я сейчас использую, привязать результаты к переменным и использовать mysqli_stmt_fetch while, чтобы получить результаты. Это работает, но недостатком этого является то, что у меня не может быть другого запроса в цикле, который мне нужен.
@ user3054325 Существует множество решений, которые позволят вам установить весь стек Apache / PHP / MySQL на Mac достаточно просто и бесплатно. MAMP , вероятно, самый известный пример. Вам действительно нужно разбираться в командной строке, если вы хотите создать дополнительные модули для PHP, который поставляется «встроенным» с OS X - но вам не нужно использовать его, если вы этого не хотите. Я действительно рекомендую разобраться в вашей среде разработки, чтобы вы могли использовать современные методы, а не избегать их из-за вашей среды.
@MattGibson спасибо за ваш ответ. Я использую MAMP / Apache / PHP 5.4.3, однако в информации по PHP нигде не упоминается mysqlnd. Функция mysqli_stmt_get_result () не распознается. Посмотрев в Интернете, я нашел где-то заявление о том, что mysqlnd поставляется по умолчанию с PHP 5.3+ в среде Windows (WAMP), что наводит меня на мысль, что это не относится к MAMP ...?
Вы все еще должны иметь возможность использовать параметризованные запросы и подготовленные операторы, просто отлично. mysqli_stmt_get_result() предназначен для определенного типа подготовленной выборки результата оператора, которая не имеет ничего общего с параметризацией запроса. Если вы хотите избежать необходимости в mysqlnd, вы должны вместо этого использовать mysqli_stmt_bind_result() .

Fleshgrinder · Answer 1 · 2015-01-11T15-33-00.000Z

tl; dr NO

Есть много векторов атак и множество различных типов SQL Injection. Например, используйте неправильный метод из класса MySQLi, и вы открыты для многих атак.

Просто даже не думайте о том, как создавать свои собственные вещи, вы потерпите неудачу, вы сильно не справитесь. Следуйте лучшим практикам и сосредоточьтесь на других частях, став самым удивительным программистом, которого когда-либо видел этот мир.

В последнем примечании подготовленные заявления предлагают вам много преимуществ. Хотя кэширование запросов, упомянутых @Zanon, к сожалению, не относится к ним, если вы используете MySQL (это было бы, например, PostgreSQL). Но это зависит от документации программного обеспечения (и их точных версий), которые вы используете.

Matt Gibson · Answer 2 · 2015-01-14T12-28-00.000Z

Как видно из нашего обсуждения в комментариях, основной причиной, по которой вы хотите избежать параметризованных запросов, является то, что вы не можете заставить mysqli_stmt_get_result() работать под MAMP, поскольку для этого требуется собственный драйвер mysqlnd.

Фактически это не влияет на вашу способность использовать параметризованные запросы или подготовленные операторы. Это усовершенствование обычного метода извлечения связанных результатов из подготовленных операторов вместо старого (но все же стандартного и отлично поддерживаемого) mysqli_stmt_bind_result(), который отлично работает без mysqlnd.

Пожалуйста, используйте параметризованные запросы. Если вы также хотите использовать подготовленные операторы с привязанными переменными результата без драйвера mysqlnd, используйте mysqli_stmt_bind_result() вместо mysqli_stmt_get_result().

Если у вас возникли проблемы с параметризованными запросами, отправьте новый вопрос с полным минимальным примером кода, с которым вы столкнулись.

Еще раз спасибо, но моя проблема с использованием mysqli_stmt_bind_result () заключается в том, что вы не можете выполнить другой запрос в цикле while, используя mysqli_stmt_fetch () для получения результатов с помощью этого метода.