Chodzi mi o ochronę przed SQL Injection. Do wszystkich swoich tabel odwołuję się za pomocą PDO, więc te zapytania są odporne na SQL Injection, ale na stronie korzystam też nie z mojego systemu newsów i ten system newsów niestety korzysta z czystego MySQL. Ten system udostępnia np. formularz do szukania w newsach, więc teoretycznie istnieje możliwość wstrzyknięcia czegoś.

Pytanie, czy takie zapytanie wpisane w formularzu wyszukiwarki w newsach może narobić szkód tylko w tabelach, z których korzysta ten system newsów, czy też w dowolnych tabelach (a więc również w moich) w bazie danych? Czy może nawet usunąć całą bazę danych?

Może usunąć całość w zależności od praw użytkownika. Dlaczego dajesz tag mssql a piszesz o mysql?

Czyli co w takiej sytuacji mógłbym zrobić? Przenieść swoje tabele do innej bazy danych (czyli inny login i hasło)?



Moja pomyłka z tym tagiem.
Jeżeli ktoś by mógł, to prosiłbym o poprawienie.

Zabezpiecz swój system newsów przed SQL Injection.

Problem w tym, że to nie jest mój system newsów. Wykorzystuje gotowy skrypt i nie wiem, czy zabezpieczenie tego przed SQL Injection nie byłoby zbyt pracochłonne?

NIekoniecznie. Już byli tu na forum geniusze co używając PDO nadal byli podatni na banalne SQLInjection

My też nie wiemy... nie widzimy kodu... szklane kule padły...

A może się wręsz okazać że wystarczy w trzech miejscach dac mysql_escape_string i po sprawie.

Z czego to wynikało? Czy PDO nie powinien zabezpieczać w pełni przed SQL Injection?

Nie, jak źle użyjesz to nie zabezpieczy. Tak samo jak źle użyjesz pistolet to zabije Ciebie zamiast napastnika

siemka

to mozna zastowować user_prof i o co tu chdzi jako admin masz dostep 1 lub connect by jakiś edytor,

jeden ma full admina drugi do odczytu.

[PHP] pobierz, plaintext 
$dbhost = ":/var/lib/mysql/mysql.sock";
if($_SESSION['hsl_write']==1 or $_SESSION['hsl_write']==''){
	$dbuname = "mysql";
	$dbpass = "***********************************************";
}
else{
	$dbuname = "readonly";
	$dbpass = "*****************";
}
 
[PHP] pobierz, plaintext 

Prawda.

A co można zrobić nie tak?
Bardzo mnie to interesuje, bo sam korzystam z PDO, a jestem początkujący i nie wykluczone, że i ja źle jego używam.

Oj nie załapałeś aluzji o wróżkach.... Dobrze, napiszę wprost: podaj kod. Wróżek nie ma
Jak pokażesz jak używasz PDO to ci powiemy czy dobrze czy nie

No ale ogólnie chodzi o bindowanie zmiennych, które to dopiero zabezpiecza przed sqlinjection

Np.

$this->stmt = $this->db->prepare("SELECT * FROM $this->tabela ORDER BY id DESC LIMIT 1");
$this->stmt->execute();
foreach($this->stmt as $row)
{
$this->data = $row["data"];

}
$this->stmt->closeCursor();

.........................

$this->stmt = $this->db->prepare("SELECT * FROM $this->tabela WHERE nr BETWEEN :zakres_od AND :zakres_do");
$this->stmt->execute( array( ':zakres_od' => $zakres_od,
':zakres_do' => $zakres_do));

.........................

$this->rows = $this->db->prepare("SELECT * FROM $this->tabela WHERE id= :id");
$this->rows->execute( array( ':id' => $id));
$this->rows_number = $this->rows->rowCount();

No i ok, używasz bindowania czyli robisz tak jak należy.

A te: $this->tabela
to skąd się bierze? Ty ustalasz czy może to też użytkownik przesyła na serwer?

To już ja ustalam

A gdyby ustalał użytkowników, to powinno się to również zbindować, tak jak poniżej?

[PHP] pobierz, plaintext 
$this->stmt = $this->db->prepare("SELECT * FROM :tabela WHERE nr BETWEEN :zakres_od AND :zakres_do");
$this->stmt->execute( array( ':tabela' => $this->tabela,
                                            ':zakres_od' => $zakres_od,
                                            ':zakres_do' => $zakres_do));
[PHP] pobierz, plaintext 

Od użytkownika w sensie, że może podać nazwę tabeli w inpucie czy też przesłać GET? A po co coś takiego robić?

W PDO nie można parametryzować nazw kolumn i tabel, jeżeli już sytuacja tego wymaga, to nie wstawiasz do zapytania tego co user wyśle tylko najlepiej zrobić coś takiego:

[PHP] pobierz, plaintext 
 
if (isset($_GET['table'])){
 
      switch((int)$_GET['table']){
 
          case 1: 
              $table='users';
              break;
          case 2: 
              $table='content';
              break;
          //itd
 
      }
 
    if(isset($table)){ 
      $sql='SELECT * FROM $table';
    } else {
       //proba dostepu do niepoprawnej tabeli
    }
 
}
[PHP] pobierz, plaintext 

w ten sposób użytkownik może wybrać tabelę ale tylko z pośród tych które chcesz mu udostępnić.

Mam podobną sytuacją - używam skrypt to newsów phpns:
http://sourceforge.net/projects/phpns/

Tyle, że jestem w otyle lepszej sytuacji, że skrypt ten nie udostępnia żadnego formularza (nie ma np. wyszukiwarki), po prostu wyświetla newsy.
Wobec tego, jeżeli nie ma formularzy, to chyba user nie może w żadne sposób wstrzykiwać złośliwego kodu?