SQLite - инъекция
Если вы вводите пользовательский ввод через веб-страницу и вставляете его в базу данных SQLite, есть вероятность, что вы оставили себя открытым из-за проблемы безопасности, известной как SQL-инъекция. В этой главе вы узнаете, как предотвратить это и защитить свои скрипты и операторы SQLite.
Инъекция обычно происходит, когда вы запрашиваете у пользователя ввод, например его имя, и вместо имени он дает вам инструкцию SQLite, которую вы бессознательно запускаете в своей базе данных.
Никогда не доверяйте предоставленным пользователем данным, обрабатывайте эти данные только после проверки; как правило, это делается путем сопоставления с образцом. В следующем примере имя пользователя ограничено буквенно-цифровыми символами плюс подчеркивание и длиной от 8 до 20 символов - при необходимости измените эти правила.
if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)){
$db = new SQLiteDatabase('filename');
$result = @$db->query("SELECT * FROM users WHERE username = $matches[0]");
} else {
echo "username not accepted";
}
Чтобы продемонстрировать проблему, рассмотрите этот отрывок -
$name = "Qadir'; DELETE FROM users;";
@$db->query("SELECT * FROM users WHERE username = '{$name}'");
Вызов функции должен получить запись из таблицы пользователей, в которой столбец имени совпадает с именем, указанным пользователем. При нормальных обстоятельствах,$nameбудет содержать только буквенно-цифровые символы и, возможно, пробелы, такие как строка ilia. Однако в этом случае, добавляя совершенно новый запрос к $ name, обращение к базе данных превращается в катастрофу: введенный запрос DELETE удаляет все записи от пользователей.
Существуют интерфейсы баз данных, которые не позволяют складывать запросы или выполнять несколько запросов за один вызов функции. Если вы попытаетесь объединить запросы в стек, вызов не удастся, но SQLite и PostgreSQL успешно выполнят стековые запросы, выполняя все запросы, представленные в одной строке, и создают серьезную проблему безопасности.
Предотвращение внедрения SQL
Вы можете грамотно обрабатывать все escape-символы в таких языках сценариев, как PERL и PHP. Язык программирования PHP предоставляет функциюstring sqlite_escape_string() для экранирования входных символов, специальных для SQLite.
if (get_magic_quotes_gpc()) {
$name = sqlite_escape_string($name);
}
$result = @$db->query("SELECT * FROM users WHERE username = '{$name}'");
Хотя кодировка делает вставку данных безопасной, она будет выполнять простые сравнения текста и LIKE предложения в ваших запросах, непригодные для столбцов, содержащих двоичные данные.
Note - addslashes()НЕ следует использовать для цитирования строк в запросах SQLite; это приведет к странным результатам при извлечении ваших данных.