Какие символы должны быть экранированы для предотвращения (My) SQL-инъекций?

Я использую функцию API MySQL

mysql_real_escape_string()

В соответствии с документацией он избегает следующих символов:

\0
\n
\r
\
'
"
\Z

Теперь я просмотрел библиотеку безопасности OWASP.org ESAPI, а в порту Python был следующий код (http://code.google.com/p/owasp-esapi-python/source/browse/esapi/codecs/mysql.py):

        """
        Encodes a character for MySQL.
        """
        lookup = {
        0x00 : "\\0",
        0x08 : "\\b",
        0x09 : "\\t",
        0x0a : "\\n",
        0x0d : "\\r",
        0x1a : "\\Z",
        0x22 : '\\"',
        0x25 : "\\%",
        0x27 : "\\'",
        0x5c : "\\\\",
        0x5f : "\\_",
        }

Теперь мне интересно, нужны ли все эти персонажи для экранирования. Я понимаю, почему существуют% и _, они являются метасимволами в LIKE-операторе, но я не могу просто понять, почему они добавили символы backspace и tabul (\ b\t)? Есть ли проблема с безопасностью, если вы выполняете запрос:

SELECT a FROM b WHERE c = '...user input ...';

Где пользовательский ввод содержит табуляторы или обратные символы?

Мой вопрос здесь: Почему они включили \b\t в библиотеку безопасности ESAPI? Есть ли ситуации, когда вам может понадобиться избежать этих символов?

ОТВЕТЫ

Ответ 1

Справочная страница MySQL для строк:

  • \0 Символ ASCII NUL (0x00).
  • \' Символ одиночной кавычки ( "'" ).
  • \" Символ двойной кавычки ( """ ).
  • \b Символ обратного пробела.
  • \n Символ новой строки (linefeed).
  • \r Символ возврата каретки.
  • \t Символ табуляции.
  • \Z ASCII 26 (Control-Z). См. Примечание, следующее за таблицей.
  • \\ Символ обратной косой черты ( "\" ).
  • \% Символ "%". См. Примечание, следующее за таблицей.
  • \_ Символ "_". См. Примечание, следующее за таблицей.

Ответ 2

Догадка о символе backspace: представьте, что я пришлю вам электронное письмо "Привет, вот запрос на обновление вашей базы данных по вашему желанию" и прикрепленный текстовый файл с

INSERT INTO students VALUES ("Bobby Tables",12,"abc",3.6);

Вы катали файл, видите, все в порядке, и просто подключите файл к MySQL. Однако вы не знали, что я положил

DROP TABLE students;\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b\b

до ЗАЯВЛЕНИЯ INSERT, которое вы не видели, потому что на консольном выводе резервные копии перезаписывали его. Bamm!

Просто догадайтесь.

Изменить (не выдерживает):

alt text

Ответ 3

Черный список (идентификация плохих символов) никогда не будет таким, если у вас есть другие варианты.

Вам нужно использовать объединение белых списков и, что более важно, привязки связанных параметров.

Хотя этот конкретный ответ имеет фокус PHP, он по-прежнему помогает многим и поможет объяснить, что просто запуск строки через фильтр char не работает во многих случаях. Пожалуйста, см. Do htmlspecialchars и mysql_real_escape_string сохраняют мой код PHP безопасным от инъекций?

Ответ 4

Где пользовательский ввод содержит табуляторы или обратные символы?

Весьма примечательно то, что до сих пор большинство пользователей считают, что он пользовательский ввод должен быть экранирован, а такое экранирование " предотвращает инъекции". p >

Ответ 5

Решение Java:

public static String filter( String s ) {
    StringBuffer buffer = new StringBuffer();
    int i;

    for( byte b : s.getBytes() ) {
        i = (int) b;

        switch( i ) {
            case  9 : buffer.append( "    " ); break;
            case 10 : buffer.append( "\\n"  ); break;
            case 13 : buffer.append( "\\r"  ); break;
            case 34 : buffer.append( "\\\"" ); break;
            case 39 : buffer.append( "\\'"  ); break;
            case 92 : buffer.append( "\\"   );

            if( i > 31 && i < 127 ) buffer.append( new String( new byte[] { b } ) );
        }
    }

    return buffer.toString();
}

Ответ 6

не удалось удалить только одну цитату из пользовательского ввода?

например: $input =~ s/\'|\"//g;