Любите загадки? Событие еще доступно на сайте.
Документация

Защита от SQL-инъекций в Laravel: проверка параметров запроса

SQL-инъекции представляют серьезную угрозу для безопасности веб-приложений. В этой статье мы рассмотрим, как можно реализовать метод для проверки параметров запроса на наличие SQL-инъекций в Laravel, используя более универсальный и надежный подход.

Создание класса для проверки SQL-инъекций Сначала создадим класс AdvancedSqlInjectionChecker, который будет содержать метод для проверки строк на наличие SQL-инъекций.

class AdvancedSqlInjectionChecker
{
    /**
     * Проверяет, содержит ли строка потенциально опасные SQL-инъекции.
     *
     * @param string $input
     * @return bool
     */
    public static function hasSqlInjection(string $input): bool
    {
        // Набор шаблонов для обнаружения SQL-инъекций
        $patterns = [
            '/(?:\b(select|union|insert|update|delete|drop|alter|create|truncate)\b)/i', // Ключевые слова SQL
            '/(?:--|\#|\;)/', // Комментарии и точка с запятой
            '/(?:\b(and|or|xor|not)\b\s+[\w\s]+\s*(=|like|>|<|in|is|between)\s+[\w\s]+)/i', // Условные операторы
            '/(?:\b(?:exec|execute|sp_executesql|xp_cmdshell)\b)/i', // Команды выполнения
            '/(?:\b(select|union)[\s\S]+(from|join|into|load_file|information_schema|mysql)\b)/i', // Комбинированные шаблоны
        ];

        foreach ($patterns as $pattern) {
            if (preg_match($pattern, $input)) {
                return true;
            }
        }

        // Дополнительная проверка на символы, которые часто используются в инъекциях
        $specialChars = ['\'', '"', ';', '\\', '--', '#'];

        foreach ($specialChars as $char) {
           if (str_contains($input, $char)) {
                return true;
            }
        }

        return false;
    }
}

Проверка параметров запроса в Laravel

Теперь интегрируем наш класс проверки в Laravel. Мы создадим Middleware, который будет проверять все параметры запроса на наличие SQL-инъекций.

Создадим новый Middleware:

php artisan make:middleware CheckForSqlInjection

Внутри созданного Middleware реализуем проверку:

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use AdvancedSqlInjectionChecker;

class CheckForSqlInjection
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle(Request $request, Closure $next)
    {
        $allInputs = array_merge($request->all(), $request->route()->parameters());

        foreach ($allInputs as $key => $value) {
            if (is_string($value) && AdvancedSqlInjectionChecker::hasSqlInjection($value)) {
                return response()->json(['error' => 'Potential SQL Injection detected in parameter: ' . $key], 400);
            }
        }

        return $next($request);
    }
}

Зарегистрируем Middleware в app/Http/Kernel.php:

protected $middleware = [
    // ...
    \App\Http\Middleware\CheckForSqlInjection::class,
];

Юнит-тестирование

Создадим юнит-тест для проверки работы класса AdvancedSqlInjectionChecker.

Создадим тестовый класс:

php artisan make:test AdvancedSqlInjectionCheckerTest

Реализуем тесты внутри созданного класса:

namespace Tests\Unit;

use PHPUnit\Framework\TestCase;
use App\Services\AdvancedSqlInjectionChecker;

class AdvancedSqlInjectionCheckerTest extends TestCase
{
    /**
     * @dataProvider sqlInjectionProvider
     */
    public function testHasSqlInjection($input, $expected)
    {
        $this->assertEquals($expected, AdvancedSqlInjectionChecker::hasSqlInjection($input));
    }

    public function sqlInjectionProvider()
    {
        return [
            ["SELECT * FROM users;", true],
            ["' OR 1=1 --", true],
            ["DROP TABLE users;", true],
            ["Safe string", false],
            ["12345", false],
        ];
    }
}

Заключение

Мы создали класс AdvancedSqlInjectionChecker, который проверяет строки на наличие SQL-инъекций с помощью регулярных выражений и анализа специальных символов. Затем мы интегрировали эту проверку в Laravel с помощью Middleware, который анализирует все параметры входящих запросов.

Этот метод позволяет обнаруживать потенциальные SQL-инъекции на раннем этапе и предотвращать выполнение опасных запросов. Однако, для полной защиты рекомендуется использовать подготовленные выражения и экранирование данных.

Пример использования Допустим, у нас есть контроллер, который принимает параметры запроса:

namespace App\Http\Controllers;

use Illuminate\Http\Request;

class UserController extends Controller
{
    public function getUser(Request $request)
    {
        $name = $request->input('name');
        $email = $request->input('email');

        // Допустим, здесь мы используем Eloquent для поиска пользователя
        $user = \App\Models\User::where('name', $name)->where('email', $email)->first();

        return response()->json($user);
    }
}

С включенным Middleware CheckForSqlInjection, каждый параметр запроса будет проверяться на наличие SQL-инъекций перед выполнением основного кода контроллера. Это добавляет дополнительный уровень безопасности вашему приложению.

Inn_100_gramm

Если вы видите это, значит, я еще не придумал, что написать.

1

Вакансии

Спонсоры

Помощь в разработке вашего проекта на Laravel

Независимо от сложности проекта эти кампании помогают сообществу и всем его участникам воплощать идеи в элегантные приложения.

Присоединиться

Инструменты для управления эмоциями, которые помогают людям контролировать свою жизнь и лучше понимать себя.

Перейти

Подкасты c зажигательными эпизодами, которые заставят задуматься и приведут к новым перспективам.

Перейти
Присоединится