SQL-запрос, в который подставляются данные без какой-либо обработки на клиентской стороне, является не безопасным с точки зрения безопасности приложения. Проблема заключается в том, что введение пользовательского ввода в SQL-запрос может предоставить злоумышленнику возможность осуществить SQL-инъекцию.
SQL-инъекция - это тип атаки, при которой злоумышленник может внедрить свой вредоносный SQL-код веб-приложения с целью взлома системы. Если приложение не обрабатывает пользовательский ввод должным образом, злоумышленник может внедрить SQL-код в SQL-запрос и повлиять на его выполнение.
Ниже приведены некоторые примеры используя SQL-инъекции:
1. Предположим, что у вас есть форма аутентификации, где пользователи вводят свое имя пользователя и пароль. SQL-запрос может выглядеть так:
SELECT * FROM users WHERE username = '{введенное_имя_пользователя}' AND password = '{введенный_пароль}'
Если пользователь введет следующее значение для имени пользователя:
' OR '1'='1
То SQL-запрос будет выглядеть так:
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '{введенный_пароль}'
Это приведет к тому, что SQL-запрос вернет все строки из таблицы users, игнорируя проверку пароля.
2. В другом примере, предположим, что у вас есть параметризованный SQL-запрос, который используется для извлечения данных из базы данных. SQL-запрос может выглядеть так:
SELECT * FROM products WHERE category = ?
Если вы просто подставите значение напрямую в запрос без обработки, злоумышленник может ввести следующее значение:
' OR 1=1 --
Запрос будет выглядеть так:
SELECT * FROM products WHERE category = '' OR 1=1 --'
Это приведет к тому, что SQL-запрос вернет все строки из таблицы products.
Чтобы обеспечить безопасность SQL-запросов, необходимо применять подходы, такие как параметризация запросов и использование подготовленных выражений. Параметризация запросов позволяет отделить пользовательский ввод от самого SQL-запроса, а подготовленные выражения обеспечивают автоматическую обработку пользовательского ввода, так что его значения не могут быть использованы для внедрения SQL-кода.
Пример использования параметризации и подготовленных выражений на языке программирования Python с использованием библиотеки SQLAlchemy:
from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker
engine = create_engine('database://username:password@hostname:port/database')
Session = sessionmaker(bind=engine)
session = Session()
# Параметризованный запрос
category = input('Введите категорию: ')
query = 'SELECT * FROM products WHERE category = :category'
result = session.execute(query, {'category': category})
# Использование подготовленного выражения
category = input('Введите категорию: ')
stmt = session.prepare('SELECT * FROM products WHERE category = :category')
result = session.execute(stmt, {'category': category})
Важно помнить, что безопасность SQL-запросов должна быть применена не только при передаче пользовательского ввода, но и при работе с данными, полученными из внешних источников или других частей приложения.