evasione per iniezione SQL

Un modo ovvio per violare questo: attacchi usando cose che non sono stringhe (per esempio numeri) dove l'utente deve inserire qualcosa come 45 (che viene manipolato nel codice come una stringa perché viene fuori alcuni HTML in questo modo, ma non è apostrofo delimitato nell'SQL perché è un campo di tipo numerico), ma può invece inserire un'intera subquery SQL (o una chiamata di procedura, o almeno alcune clausole aggiuntive ...).

Inoltre non sei affatto vicino al punto di comprendere i meta-caratteri. Ad esempio, l'utilizzo di -- per avviare un commento non è l'unico modo (non sono sicuro che lo sia anche nello standard SQL generale); un altro modo per iniziare un commento a riga singola (che MySQL supporta anche) è # , e non stai facendo nulla a riguardo. Vedi link

Altri problemi: supponiamo che tu sia riuscito a farlo in qualche modo "completamente". Quindi, in futuro, cambi i motori di database (o esegui semplicemente l'aggiornamento a una nuova versione) e il nuovo server di database supporta alcuni nuovi meta-caratteri (come inizio di un commento, come fine riga, come end-of-string, come delimitatore di sottoquery, come qualcos'altro ...), e improvvisamente la tua "soluzione" è di nuovo vulnerabile.

Smetti di provare a reinventare la ruota. Esistono istruzioni preparate / query con parametri per tutti i driver del database. Alcuni motori di database supportano stored procedure definite dall'utente, che non sono solo parametrizzate ma eseguono anche più velocemente delle normali stringhe SQL.

Se assolutamente deve combinare l'input dell'utente con SQL raw per qualche motivo (questo è raro e può essere evitato di solito essendo più intelligente con il tuo codice, ma in alcuni casi è possibile semplicemente utilizzare query parametrizzate), utilizzare una funzione di libreria ben testata per questo. Stai sostanzialmente cercando di ri-implementare mysql_escape_string , e il primo tentativo è andato storto anche .

I tuoi metodi di filtraggio non sono molto utili, dovresti usare metodi di sicurezza integrati invece di sostituire i caratteri da solo.

Puoi fare entrambe le ipotesi, ma ricorda che mysqli_query () non accetta automaticamente più istruzioni SQL, quindi corregge il tuo primo problema.

mysql_escape_string() corregge il tuo secondo problema e dovrebbe anche correggere una serie di altri problemi con i valori interpretati come aventi un'importanza maggiore di quanto dovrebbero.

Ciò che è attualmente in uso è noto come lista nera, non è del tutto efficace se non utilizzato in combinazione con altri metodi di mitigazione dell'iniezione SQL. Consiglio di utilizzare una whitelist se possibile. Quindi, ad esempio, si accettano solo numeri interi come input.

La lista nera è così:

I accept everything except for...

La lista bianca è così:

I disallow everything except for...

Quindi le whitelist, se usate correttamente, sono molto più efficaci di una lista nera. Ricorda che le iniezioni SQL sono molto, molto avanzate e esistono da molto tempo. Tutto quello che hai è una lista nera di 4 regole, se fosse così semplice prevenire tutti gli attacchi di SQL Injection con una lista nera contenente solo 4 regole, quindi SQLi non sarebbe un problema.