• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

SQL Injection a Stored Procedures w MySQL

VPS Starter Arubacloud
+1 głos
189 wizyt
pytanie zadane 3 stycznia 2016 w SQL, bazy danych przez JachuPL Bywalec (2,950 p.)

Cześć, chciałbym się dowiedzieć co nieco o zapobieganiu SQL Injection bezpośrednio z poziomu procedur. Rozważmy następujący scenariusz:
Mam tabelę panstwa_miasta z kolumnami panstwo oraz miasto. Napisałem prostą procedurę zlicz(IN VARCHAR, OUT INT), której zadaniem jest zliczenie miast w danym państwie. Wywołuję ją za pomocą CALL zlicz('Polska', @ilosc);, zaś samą ilość wyciągam potem zapytaniem SELECT @ilosc; Ciało procedury prezentuje się następująco:

CREATE DEFINER = `root`@`%` PROCEDURE `zlicz`(IN `panstwo_param` varchar(255), OUT `total` INT(11))
BEGIN
		SELECT COUNT(*) INTO total FROM panstwa_miasta WHERE panstwo = panstwo_param;
END;

Zastanawiam się, czy samo użycie procedury zamiast zwykłego zapytania niweluje w tym przypadku możliwość wystąpienia ataku SQL Injection. Czy muszę podjąć dodatkowe kroki, by całkowicie zniwelować ryzyko wystąpienia tego ataku? Czy w ogóle da się wykryć taki atak z poziomu procedury? Niestety, nie mogę zastosować parametryzacji w aplikacji, ponieważ nie mam dostępu do jej kodu źródłowego. Pozdrawiam serdecznie

1 odpowiedź

0 głosów
odpowiedź 3 stycznia 2016 przez sonquer Gaduła (4,280 p.)

Zawsze możesz spróbować się włamać.
Powstawiaj ciągi typu: " ' --' ", " ' " etc.
Jak na moje jest już bezpiecznie bo wysyłasz dane poprzez parametry co niweluje możliwość SQLi. Pozdr! wink

Podobne pytania

0 głosów
2 odpowiedzi 408 wizyt
pytanie zadane 1 września 2020 w PHP przez Kacperhehe Bywalec (2,930 p.)
+1 głos
2 odpowiedzi 253 wizyt
pytanie zadane 23 września 2020 w PHP przez Kacperhehe Bywalec (2,930 p.)
+1 głos
2 odpowiedzi 365 wizyt
pytanie zadane 11 sierpnia 2020 w PHP przez Bakkit Dyskutant (7,600 p.)

92,453 zapytań

141,262 odpowiedzi

319,087 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...