Názory k článku Děravé databáze: věčná láska hackerů
-
Pavel Stehule (neregistrovaný)Proč se rozčilujete? Mnohem důkladnější popis se povaluje všude na netu. Cenzura nic neřeší. Pro ukrajinské, ruské, čínské, pákistánské crackery SQL injektáž rozhodně není novinkou. Pro místní uživatele nebo programátory je potřeba naopak osvěta. Kdyby tyto články vycházely 10x denně, tak jedině dobře.
-
pepak (neregistrovaný)11) Používejte pro předávání parametrů databázi prepared statements, která jsou pro to určená a kromě vyššího výkonu také zamezí drtivé většině SQL injection.
Jenže to by PHP frameworky museli programovat lidé, kteří o databázích něco vědí a nemají nezměrnou touhu stále znovu a znovu vynalézat šišaté kolo. -
Pokud jsou dotazy u sebe, jako že v příkladu byly, tak si troufám tvrdit, že se na 90% nepřehlédnu. Zbytek snad odhalí testování. Pokud dovolím sestavit SQL dynamicky, neotestuji pravděpodobně všechny možnosti, které mi od uživatele mohou přijít, což je potenciální díra v aplikaci.
Osobně raději vezmu duplicitu kódu než kód, který do databáze pustí něco neočekávaného.
Netvrdím, že bych kopíroval celý dotaz. Pravděpodobně bych ho rozdělil na několik částí. Zde ale už porušuji čitelnost a trochu i bezpečnost, protože nemohu scannováním zdrojáku otestovat syntaktickou správnost všech dotazů.
Pokud máme v debatě pokračovat dál, rád bych slyšel odpověď na Pavlovu otázku s ohledem na 3 zmíněná kritéria. -
Pomíjíte, že téměř každá SQL má detailní možnosti nastavení práv, takže každá databáze může mít jednoho db uživatele pro web (pouze prohlížení), jednoho pro administraci (zápis) a dalšího pro databázové příkazy (třeba zrovna ten drop tabulky)
Jenže který hosting by tohle uměl a který programátor by to používal? -
nbmb (neregistrovaný)Dekuji za clanek. Tusil jsem, ze to takhle nejak funguje.
Mimochodem, Matlab take ma cosi, cemu rika Web Server (pres html formular zadate parametry vypoctu, odeslete Matlabu, ten neco spocita a vrati HTML s vysledkem nebo i obrazek s grafem) a tam lze vytvorit napadnutelne skripty. Na jedne univerzite se mi tak podarilo si na dany server vzdalene nainstalovat do jejich woken vlastni ftp server, ale to byl opravdu extrem. -
Filip Jirsák (neregistrovaný)
Vy ale nepíšete jen o pár řádek víc. Vy kopíruju celý dotaz. Předem vím jak to dopadne. Až ho budete měnit, na jeden z výskytů zcela jistě zapomenete.
To je jenom věc toho, jak to napíšete – a do komentáře se to asi napíše v této formě, protože je to nejsrozumitelnější. jinak se to dá samozřejmě napsat jako šablona, kam doplníte vlastní parametr (tedy ne zadaný uživatelem), nebo to můžete mít jako uloženou proceduru na serveru a té předáte jako parametr jenom hodnotu z výčtového typu. Pořád je to tisíckrát lepší než nechat uživatele psát si vlastní SQL příkazy. -
Pavel Stehule (neregistrovaný)Všechny kombinace se určitě nezkoušejí - viz http://redbook.cs.berkeley.edu/redbook3/lec7.html případně hledejte na googlu "dynamické programování".
Čím složitější SQL příkaz, tím méně by se Vám měl v db vyskytovat. Totéž - pokud se v db objevují opakující se SQL příkazy, tak to povětšinou znamená, že se někde udělala chyba - např. špatně konfigurované Hibernate. Konečně u prepared statement hrozí riziko neoptimálních prováděcích plánů z důvodů optimalizace na slepo. -
anonymníNo v PHP k obraně můžete využít pole, kde $uzivatelem_urcene_pole je index do asociativního pole, kde je teprve uložen název pole. Například takto
$table = {'kod' => 'id', 'jmeno' => 'name'};
$sql = "SELECT * FROM tabulka ORDER BY {$table[$uzivatelem_urcene_pole]}".
Pokud $uzivatelem_vlozene_pole je něco jiného, vrati se asi null ... -
To je ale zpusobeno nevhodnym pouzivanim magic quotes a addslashes kdy si to zdvojite. nebo kdyz to pouzivate jinde nez pri skladani SQL.
OK vyuziti mysqli::escape_string je mozna lepsi ikdyz seznam kodovanych znaku je
NUL (ASCII 0), \n, \r, \, ', ", and Control-Z.
takze nevim jak chcete resit kodovani.
Ale stejne tak funguje prepare exec ze jej musite pouzit vsude. navic pri tvorbe filtru no potes.. -
Shean (neregistrovaný)Podle mě je tu jediný problém, a to že se nepoužívají parametrizované sql dotazy, např. select * from tabulka where id=:id
Přitom je to i rychlejší, protože dotaz je kompilován jen jednou.
Těch rad od autora je tam spousta, protože si není jistý, jak se bránit. Tak doufám, že si přečte tento příspěvek.
Jinak, existují specializované firmy, které také dokáží otestovat zabezpečení webové aplikace. -
Flasi (neregistrovaný)Nepíši, že SQL injection nemůže postihnout aplikaci napsanou v Javě, nebo .NETu.
Píši, že používání parametrů u SQL příkazů je v těchto prostředích "součást slušného vychování". Tedy, že v těchto přostředích se k eliminaci rizika SQL injekce stačí chovat podle elemetárních tutoriálů. Pochopitelně, když někdo SQL injekci hrozně moc chce, tak mu v tom Java ani .NET bránit nebudou a poskládat SQL dotaz ze stringů ze vstupních polí ho nechají. -
anonymnísql_query = ...dotaz bez ORDER...
if OrderParameterIsValid( $user_order_input ) then sql_query = sql_query + order by $user_order_input
Jak vypada IsValid myslim neni moc dulezite, v PHP to osobne resim tim ze mam array s validnimi hodnotami a pak staci udelat array_search nebo array_key_exists.
Neni zadny duplicitni kod a je to myslim obstojne citelne. (IMHO je to lip citelne nez vas spagetovy if if if if.. kod)
"chytat indexy" - to je snad vec DB enginu, aby si dotaz zoptimalizoval (kdyz se mu udelaji patricne indexy do tabulek)? (samozrejme v krajnim pripade jde udelat dalsi if ktery se postara o specialni pripad) -
anonymníMyslim ze je lepsi pouzivat framework typu nette+dibi, kde je jiz opravdu docela slozite napsat kod ktery neni bezpecny (i kdyz i to jde), magic quotes a addslashes je prece jen tezsi uhlidat, resp. vyzaduje to od programatora praci navic. U kvalitniho frameworku je to opacne, praci navic musite udelat pokud to nechcete bezpecne.
(konkretne u dibi je teda jeste dulezite aby clovek psal SQL dotazy pres parametry a ne primo jako jeden string, u samotneho nette snad nebezpecny kod napsat omylem nejde, pokud nenapisete nekam do sablony "!" omylem, co je velmi nepravdepodobne .. aha, jeste je dobre parametrizovat pripustne znaky v nastaveni URL routeru pres regexpy, tam je dalsi slabsi misto ktere v soucinnosti s jinou slabomyslnosti v kodu muze nakonec udelat i neco nebezpecneho .. zbytek funguje dost dobre i bez toho ze by jste nad tim premysleli) -
Pavel Stehule (neregistrovaný)To nepomíjím. Pomocí práv lze minimalizovat škody způsobené SQL injektáží - nicméně nastavením práv se rizika SQL injektáže nezbavíte - pokud nepřistoupíte k dost razantní strategii a neobalíte všechny SQL příkazy uloženou procedurou, která běží v security definer modu - čímž byste běžného uživatele odřízl.
Nastavení práv v SQL databázi lze pouze minimalizovat dopady. Ale již jen to, že se Vám pomocí SQL injektáže útočník dostane k uživatelským datům, je problém, a tomu se nastavením práv nevyhnete. Všimněte si - většina problémů způsobených SQL injektáží není o tom, že by někdo pozměnil strukturu, ale o tom, že někdo získal data, která získat neměl. -
Ivan (neregistrovaný)No minimalne na Oracle maji Prepared Statementy velky vyznam pro vykon.
1. vytvoreni exkucniho planu ma slozitost O(n!) kde n je pocet tabulek v joinu. Proto DB vygeneruje max. 80000 exekucnich planu a z nich zvoli nejlepsi.
2. Vytvoreni exekucniho planu vyzaduje exkluzivni zamek na nekterych sdilenych strukturach. Tim muzete zbytecne brzdit ostatni konexe. Vytvoreni exekucniho planu vyzaduje sdileny zamek jinych strukturach. To muze zbytecne zvysovat mnozstvi zprav mezi nody DB clusteru.
3. SQL prikazy se velice casto opakuji a na normalni DB se pomer mezi hard a soft parse pohybuje okolo 1:1000. -
Flasi (neregistrovaný)Nebo to rovnou pište v prostředích, kde při práci s databází patří používání typově bezpečných parametrů ke slušnému vychování - jako jsou např. .NET nebo Java.
A pro zasmání:
http://xkcd.com/327/ -
Pavel Stehule (neregistrovaný)No, a pak se lidé diví, že SQL injection je tak časté. Měl jsem dodat, SQL je ochranou proti SQL injection na správně použitém SQL příkazu. Dynamický ORDER BY je něco, co bych si nikdy nedovolil napsat, a také to nikomu nedoporučuji.
Pokud chcete bezpečně řešit takový dotaz, pak Vám nezbývá než SQL příkaz namnožit:
if col = ... THEN
SELECT FROM ORDER BY 1;
else
SELECT FROM ORDER BY 2;
atd -
Pavel Stehule (neregistrovaný)Až na malé výjimky nemá smysl uvažovat o Prepared Statement kvůli výkonu - ve většině případů je výkon stejný nebo může být i horší (zase tak často se SQL příkazy neopakují a optimalizace na dnešních strojích už neznamená takové zdržení). Ten soudobý smysl je v ochraně vůči SQL injection. Podobně se chovají tzv. Parametrized Queries - moderní databáze nabízejí obé - PQ mají výhody PP bez jejich nevýhod. Pokud používáte PQ, tak se musíte hodně snažit - v podstatě to nejde, abyste napsal SQL injection zranitelný dotaz. dalším argumentem pro PQ je čitelnost zápisu.
-
Pavel Stehule (neregistrovaný)Od toho je testování. Ať už unit testy nebo regresní testy.
Pokud se vyhnu dynamickému SQL, tak poměrně snadno mohu otestovat syntaktickou správnost všech SQL dotazů, které se vyskytují v aplikaci. Dynamické SQL není testovatelné.
Samozřejmě, že tu proti sobě jdou dvě strategie - úspora kódu X efektivitě a bezpečnosti. Souhlasím, můžete udělat chybu. Na druhou stranu - dynamické SQL Vás před chybami neochrání - testovat musíte tak jako tak - a navíc riskujete děravost aplikace.
Jedna věc je, když píšete lokální z internetu nedostupné aplikace - riziko SQL injektáže není až tak velké. Jen riskujete, že Vám uživatelé vygenerují pomalý dotaz, což patrně přežijete. Psát dobré internetové aplikace ovšem vyžaduje docela dost znalostí - pohybujete se v mnohem rizikovějším prostředí a přetížit SQL server náporem uživatelů je mnohem menší problém - tudíž web s trochou větší návštěvností je mnohem lépe optimalizován než typické vnitropodnikové aplikace. -
Filip Jirsák (neregistrovaný)
Jen nevim co se tu resi injektaz pokud pouzivate addslashes tak nemuzete mit problem...
Ale můžete…addslashes()je právě příklad, kdy se jeden problém vyřeší tak, že se vytvoří jiný, který je minimálně stejně velký.addslashesfunguje jedině v případě, že jej použijete na všech potřebných místech a nikde jinde, a na vše právě jednou. Používáníaddslashesje nouze nejvyšší a je dobré jedině pro případ, kdy opravdu nemůžete použít parametrizované dotazy (přičemž jediný přípustný důvod, proč je nemůžete použít, je, že je vámi používaná knihovna neumí). -
Zet (neregistrovaný)Tak, a ted se autor muze citit, jako drsny igigi! Ukazal, ze i ON dokaze neco tak velkeho a ze igigi neni zadny borec! (/ironie)
Zatleskejme autorovi clanku a podporme tak jeho ego!
Je to borec, ze jde v igigiho slepejich.. Vse nazorne ukazal i pro blbecky (takze ted kazde pako bude dropovat databaze.. skvele) a zverejnil strukturu tabulky - jako igigi, proste WOW!
Seriously, get a life!
ČLÁNKY DO MAILU