Является ли данный код защищенным от SQL инъекций?

Question

LamerFromSpace @LamerFromSpace

Студент-быдлокодер

Является ли данный код защищенным от SQL инъекций?

Интересует место после WHERE

$fields = [
        "id" => "id",
        "name" => "name",
        "birthdate" => "birthdate",
        "address" => "address",
        "phone" => "phone",
        "job" => "job",
    ];
    $search = $DB->prepare("SELECT * FROM User WHERE {$fields[$_GET['field']]}  LIKE :search");

Может есть способ поизящнее сделать? Это костыль какой то

Вопрос задан более трёх лет назад
725 просмотров

7 комментариев

Подписаться 3 Простой 7 комментариев

ThunderCat @ThunderCat Куратор тега PHP

интересно, а если я гетом туда "stupid" передам?

Написано более трёх лет назад
LamerFromSpace @LamerFromSpace Автор вопроса

ThunderCat, а если не язвить и нормально объяснить? Все когда то были в чём-то новичками. Как по мне ничего страшнее пустого ответа сервера не случится

Написано более трёх лет назад
SagePtr @SagePtr

LamerFromSpace, вы не проверяете на существование в массиве, если пользователь передаст что-то несуществующее - произойдёт обращение к несуществующему индексу.
Страшного не произойдёт, просто пользователь увидит ошибку и поймёт, что автор - дно. Является ли позор для вас страшным или нет - решать вам.

Написано более трёх лет назад
LamerFromSpace @LamerFromSpace Автор вопроса

SagePtr, это я понимал и так, код пишу чтобы потестить, единственный кто будет это юзать - я сам. Мне интересна именно возможность SQL инъекции через это место.

Написано более трёх лет назад
LamerFromSpace @LamerFromSpace Автор вопроса

SagePtr, даже если это кто то вдруг будет использовать - выбор поля идёт через тег select, запрос идет используя ajax, вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли? Оставьте Ваши оскорбления при себе

Написано более трёх лет назад
Иван Корюков @MadridianFox

LamerFromSpace, среди рядовых пользователей обязательно найдётся тот, который откроет консольку и начнёт играться с вашими url'ами.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

LamerFromSpace,
вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли?

это... я всегда так делаю, а что не так то?

а если не язвить и нормально объяснить?
Где я язвил? Задал вопрос, который должен вас немного подтолкнуть в верном направлении, никакого язвления.

Как по мне ничего страшнее пустого ответа сервера не случится
ну, скорее всего не случится, но будет ошибка синтаксиса sql и запрос отвалится, в зависимости от настроек сервера скрипт либо выдаст варнинг/нотис, либо вывалится с ошибкой.

Написано более трёх лет назад

Решения вопроса 1

3 комментария

knnk @knnk

Что-то сильно сомневаюсь про защиту.
Защищен он тогда, когда запрос параметризуется.
А там параметризован только LIKE.
А в поля из запроса можно передать все, что угодно и это уйдет на сервер, а в конце будет подставлено условие в LIKE.

Почему-то все считают, что если написать хрень и вызвать Prepare, то автоматом случится чудо...

Написано более трёх лет назад
Иван Корюков @MadridianFox

knnk, никто так не считает. В запрос вставляется не значение из GET, а элемент массива, индекс которого выбирается GET параметром.
Массив жёстко задан в коде, поэтому максимум что можно сделать передав неправильный GET параметр - это словить undefined index.

Написано более трёх лет назад
knnk @knnk

Иван Корюков, да, протупил, тысяча извинений.
Параллельно просто обсуждали одну систему, где история была ровно как описал - все типа лечилось prepare и все.

Чтобы не словить, думаю, проще array_key_exists и все.
А в идеале как сказал другой оратор - show columns.

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 2 часа назад
- 19 просмотров
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 1 подписчик
- 3 часа назад
- 28 просмотров
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 4 часа назад
- 66 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 1 подписчик
- 10 часов назад
- 44 просмотра
1

ответ
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 93 просмотра
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- вчера
- 132 просмотра
2

ответа
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- вчера
- 39 просмотров
0

ответов
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- вчера
- 202 просмотра
3

ответа
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- 22 апр.
- 104 просмотра
1

ответ
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 22 апр.
- 142 просмотра
3

ответа
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Разработка приложения на Flutter

24 апр. 2024, в 19:18

50000 руб./за проект

Сайт с вебзвонками и чатами на react

24 апр. 2024, в 19:05

15000 руб./за проект

Создать Телеграм бота (под запуск курса)

24 апр. 2024, в 18:39

80000 руб./за проект

интересно, а если я гетом туда "stupid" передам?
ThunderCat, а если не язвить и нормально объяснить? Все когда то были в чём-то новичками. Как по мне ничего страшнее пустого ответа сервера не случится
LamerFromSpace, вы не проверяете на существование в массиве, если пользователь передаст что-то несуществующее - произойдёт обращение к несуществующему индексу.
Страшного не произойдёт, просто пользователь увидит ошибку и поймёт, что автор - дно. Является ли позор для вас страшным или нет - решать вам.
SagePtr, это я понимал и так, код пишу чтобы потестить, единственный кто будет это юзать - я сам. Мне интересна именно возможность SQL инъекции через это место.
SagePtr, даже если это кто то вдруг будет использовать - выбор поля идёт через тег select, запрос идет используя ajax, вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли? Оставьте Ваши оскорбления при себе
LamerFromSpace, среди рядовых пользователей обязательно найдётся тот, который откроет консольку и начнёт играться с вашими url'ами.
LamerFromSpace,
вряд ли рядовой юзер откроет консольку браузера/исходный код, найдёт там url, куда уходит get и пойдёт ручками писать свой запрос, не так ли?

это... я всегда так делаю, а что не так то?

а если не язвить и нормально объяснить?
Где я язвил? Задал вопрос, который должен вас немного подтолкнуть в верном направлении, никакого язвления.

Как по мне ничего страшнее пустого ответа сервера не случится
ну, скорее всего не случится, но будет ошибка синтаксиса sql и запрос отвалится, в зависимости от настроек сервера скрипт либо выдаст варнинг/нотис, либо вывалится с ошибкой.

Answer 1 · 2019-07-07 10:30:16

От инъекции как таковой код защищён. По крайней мере в лоб передать кусок запроса уже не получится.
Однако надо проверять что пользователь передаёт название существующего поля, чтобы код не падал.
А ещё надо следить чтобы сервер автоматически не превращал параметры запроса в переменные, чтобы пользователь, случайно или умышленно, не затёр вам $fields собственным массивом.
Хотя мне кажется это первое чему учат, когда говорят про безопасность в PHP)

Является ли данный код защищенным от SQL инъекций?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт