SQLite - инъекция

Если вы вводите пользовательский ввод через веб-страницу и вставляете его в базу данных SQLite, есть вероятность, что вы оставили себя открытым из-за проблемы безопасности, известной как SQL-инъекция. В этой главе вы узнаете, как предотвратить это и защитить свои скрипты и операторы SQLite.

Инъекция обычно происходит, когда вы запрашиваете у пользователя ввод, например его имя, и вместо имени он дает вам инструкцию SQLite, которую вы бессознательно запускаете в своей базе данных.

Никогда не доверяйте предоставленным пользователем данным, обрабатывайте эти данные только после проверки; как правило, это делается путем сопоставления с образцом. В следующем примере имя пользователя ограничено буквенно-цифровыми символами плюс подчеркивание и длиной от 8 до 20 символов - при необходимости измените эти правила.

if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)){
   $db = new SQLiteDatabase('filename');
   $result = @$db->query("SELECT * FROM users WHERE username = $matches[0]");
} else {
   echo "username not accepted";
}

Чтобы продемонстрировать проблему, рассмотрите этот отрывок -

$name = "Qadir'; DELETE FROM users;";
@$db->query("SELECT * FROM users WHERE username = '{$name}'");

Вызов функции должен получить запись из таблицы пользователей, в которой столбец имени совпадает с именем, указанным пользователем. При нормальных обстоятельствах,$nameбудет содержать только буквенно-цифровые символы и, возможно, пробелы, такие как строка ilia. Однако в этом случае, добавляя совершенно новый запрос к $ name, обращение к базе данных превращается в катастрофу: введенный запрос DELETE удаляет все записи от пользователей.

Существуют интерфейсы баз данных, которые не позволяют складывать запросы или выполнять несколько запросов за один вызов функции. Если вы попытаетесь объединить запросы в стек, вызов не удастся, но SQLite и PostgreSQL успешно выполнят стековые запросы, выполняя все запросы, представленные в одной строке, и создают серьезную проблему безопасности.

Предотвращение внедрения SQL

Вы можете грамотно обрабатывать все escape-символы в таких языках сценариев, как PERL и PHP. Язык программирования PHP предоставляет функциюstring sqlite_escape_string() для экранирования входных символов, специальных для SQLite.

if (get_magic_quotes_gpc()) {
   $name = sqlite_escape_string($name);
}
$result = @$db->query("SELECT * FROM users WHERE username = '{$name}'");

Хотя кодировка делает вставку данных безопасной, она будет выполнять простые сравнения текста и LIKE предложения в ваших запросах, непригодные для столбцов, содержащих двоичные данные.

Note - addslashes()НЕ следует использовать для цитирования строк в запросах SQLite; это приведет к странным результатам при извлечении ваших данных.