Защита от SQL-инъекций в Laravel: проверка параметров запроса
SQL-инъекции представляют серьезную угрозу для безопасности веб-приложений. В этой статье мы рассмотрим, как можно реализовать метод для проверки параметров запроса на наличие SQL-инъекций в Laravel, используя более универсальный и надежный подход.
Создание класса для проверки SQL-инъекций Сначала создадим класс AdvancedSqlInjectionChecker, который будет содержать метод для проверки строк на наличие SQL-инъекций.
class AdvancedSqlInjectionChecker
{
/**
* Проверяет, содержит ли строка потенциально опасные SQL-инъекции.
*
* @param string $input
* @return bool
*/
public static function hasSqlInjection(string $input): bool
{
// Набор шаблонов для обнаружения SQL-инъекций
$patterns = [
'/(?:\b(select|union|insert|update|delete|drop|alter|create|truncate)\b)/i', // Ключевые слова SQL
'/(?:--|\#|\;)/', // Комментарии и точка с запятой
'/(?:\b(and|or|xor|not)\b\s+[\w\s]+\s*(=|like|>|<|in|is|between)\s+[\w\s]+)/i', // Условные операторы
'/(?:\b(?:exec|execute|sp_executesql|xp_cmdshell)\b)/i', // Команды выполнения
'/(?:\b(select|union)[\s\S]+(from|join|into|load_file|information_schema|mysql)\b)/i', // Комбинированные шаблоны
];
foreach ($patterns as $pattern) {
if (preg_match($pattern, $input)) {
return true;
}
}
// Дополнительная проверка на символы, которые часто используются в инъекциях
$specialChars = ['\'', '"', ';', '\\', '--', '#'];
foreach ($specialChars as $char) {
if (str_contains($input, $char)) {
return true;
}
}
return false;
}
}
Проверка параметров запроса в Laravel
Теперь интегрируем наш класс проверки в Laravel. Мы создадим Middleware, который будет проверять все параметры запроса на наличие SQL-инъекций.
Создадим новый Middleware:
php artisan make:middleware CheckForSqlInjection
Внутри созданного Middleware реализуем проверку:
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use AdvancedSqlInjectionChecker;
class CheckForSqlInjection
{
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle(Request $request, Closure $next)
{
$allInputs = array_merge($request->all(), $request->route()->parameters());
foreach ($allInputs as $key => $value) {
if (is_string($value) && AdvancedSqlInjectionChecker::hasSqlInjection($value)) {
return response()->json(['error' => 'Potential SQL Injection detected in parameter: ' . $key], 400);
}
}
return $next($request);
}
}
Зарегистрируем Middleware в app/Http/Kernel.php:
protected $middleware = [
// ...
\App\Http\Middleware\CheckForSqlInjection::class,
];
Юнит-тестирование
Создадим юнит-тест для проверки работы класса AdvancedSqlInjectionChecker.
Создадим тестовый класс:
php artisan make:test AdvancedSqlInjectionCheckerTest
Реализуем тесты внутри созданного класса:
namespace Tests\Unit;
use PHPUnit\Framework\TestCase;
use App\Services\AdvancedSqlInjectionChecker;
class AdvancedSqlInjectionCheckerTest extends TestCase
{
/**
* @dataProvider sqlInjectionProvider
*/
public function testHasSqlInjection($input, $expected)
{
$this->assertEquals($expected, AdvancedSqlInjectionChecker::hasSqlInjection($input));
}
public function sqlInjectionProvider()
{
return [
["SELECT * FROM users;", true],
["' OR 1=1 --", true],
["DROP TABLE users;", true],
["Safe string", false],
["12345", false],
];
}
}
Заключение
Мы создали класс AdvancedSqlInjectionChecker, который проверяет строки на наличие SQL-инъекций с помощью регулярных выражений и анализа специальных символов. Затем мы интегрировали эту проверку в Laravel с помощью Middleware, который анализирует все параметры входящих запросов.
Этот метод позволяет обнаруживать потенциальные SQL-инъекции на раннем этапе и предотвращать выполнение опасных запросов. Однако, для полной защиты рекомендуется использовать подготовленные выражения и экранирование данных.
Пример использования Допустим, у нас есть контроллер, который принимает параметры запроса:
namespace App\Http\Controllers;
use Illuminate\Http\Request;
class UserController extends Controller
{
public function getUser(Request $request)
{
$name = $request->input('name');
$email = $request->input('email');
// Допустим, здесь мы используем Eloquent для поиска пользователя
$user = \App\Models\User::where('name', $name)->where('email', $email)->first();
return response()->json($user);
}
}
С включенным Middleware CheckForSqlInjection, каждый параметр запроса будет проверяться на наличие SQL-инъекций перед выполнением основного кода контроллера. Это добавляет дополнительный уровень безопасности вашему приложению.