SQL Injection
Na tejto prednáške si porozprávame niečo o bezpečnosti MySQL alebo skôr o tom, aké nástrahy hrozia pri bežnej práci s databázou. Nemáme na mysli prácu priamo v systéme phpMyAdmin, ale vykonávanie SQL query z kódu PHP, najmä pri práci s parametrami – či už z URL alebo z formulárov. Aby sme sa dostali do obrazu, otvorte si zdrojový kód našej domovskej stránky (index.php), čiže súbory controller.php a model.php.
Zamerajme sa v tejto chvíli na spôsob filtrovania na našej stránke, ale tento problém sa v podstate bude týkať aj ostatných funkcionalít, ktoré je možné vykonávať pomocou domovskej stránky. Ako vidíme, v controlleri máme v časti kódu, ktorá rieši filtrovanie, iba pár riadkov. Na začiatku sa pýtame v podmienke if, či bola vykonaná metóda GET a či prišiel parameter z formulára na vyhľadávanie, čiže či bol tento formulár odoslaný. V tomto prípade, ak formulár nebol odoslaný, ale zavedieme ho do URL, tak táto podmienka bude splnená. Následne si berieme hodnotu z parametra search_keyword, v ktorom je uložený textový reťazec, ktorý vyhľadávame v databáze.
Ak sa teda snažíme jednoducho vyhľadať napríklad slovo miro, naša url vyzerá takto : ...index.php?search_keyword=miro&sort_by=&sort_type=&search_form=Filtruj. Po zachytení sa hodnota tohto parametra uloží do property search_keyword objektu UserList. V modeli sa pri vyťahovaní všetkých dát skladá SQL Query, ktorá do seba zahrnie jednak parametre týkajúce sa zoraďovania a aj filtrovania. A toto je kameň úrazu. Všimnite si, že následne v modeli vo funkcii toLoadAllUsers nerobíme nič, iba rovno skladáme sql query s tým, že do nej zakomponujeme bez akejkoľvek kontroly hodnotu parametra zadaného vo formulári alebo v URL (prilepíme do stringu tvoriaceho query).
V prípade normálnych štandardných hodnôt to nie je problém. Jednoducho skladáme query, zakomponujeme string na vyhľadanie a zavoláme query. Všimnite si ale, že v podstate cez túto hodnotu sa akokeby rovno dostávame do databázy, resp. to, čo zadáme ako parameter, sa dostáva rovno (priamo) do databázy cez query. Čo keď sa k takémuto systému dostane niekto, kto sa troška vyzná do programovania a bude sa chceť trošku zabaviť? Aby sme vedeli, o čom je reč. Skúste si dať po zložení stringu vypísať obsah query cez print_r:
model.php:
...
}
print_r($sql_query);
return mysqli_query($GLOBALS['db']->connection, $sql_query);
...
Po zadaní slova miro pre filtrovanie by mala query vyzerať asi takto:
SELECT users.id,users.user_name,users.user_surname,users.age,users.role,user_phone_numbers.phone_number,upn.phone_number AS phone_number_2,COUNT(*) FROM users LEFT JOIN user_phone_numbers ON users.main_phone_number_id=user_phone_numbers.id LEFT JOIN user_phone_numbers AS upn ON users.id=upn.id_user WHERE users.user_name LIKE '%miro%' OR users.user_surname LIKE '%miro%' GROUP BY users.id
Ako vidíte, hodnota zadaná v inpute vo formulári je priamo v príkaze do db. Predstavte si, že tam napíšeme úplne niečo iné...hocijakú blbosť...napríklad : ako sa mas. Query vyzerá takto:
...users.user_name LIKE '%ako sa mas%' OR users.user_surname LIKE '%ako sa mas%' GROUP BY users.id...
Toto je ešte stále fajn. Ale čo keď tam niekto zadá niečo iné a ten niekto ovláda jazyk SQL a predpokladá, že to nemáme nijak ošetrené? Čo sa môže stať? Čo keby zadal taký reťazec, že by uzavrel náš príkaz (SELECT) a následne by tam zadal iný príkaz? Napríklad na vymazanie všetkých dát z databázy? A my by sme o tom nevedeli, iba by sme toto query spustili (stránka by to spustila automaticky sama na serveri) a vymazalo by nám to všetky dáta? Odpoveď je bohužiaľ krutá...kľudne sa to môže stať a nemáme tomu momentálne ako zabrániť, resp. nemáme to nijak ošetrené. O čom sa ale bavíme? Skúste si len na ukážku vytvoriť nejakú tabuľku s názvom test:
sql:
CREATE TABLE test (id int);
Po vykonaní príkazu vidíte tabuľku v zoznam tabuliek našej databázy. Predstavte si, že by používateľ do formuláru na filtrovanie zadal niečo takéto :
'; DROP TABLE test; SELECT * FROM users where id='%
Po zadaní tejto hodnoty na filtrovanie by mala celá sql query vyzerať asi takto:
SELECT users.id,users.user_name,users.user_surname,users.age,users.role,user_phone_numbers.phone_number,upn.phone_number AS phone_number_2,COUNT(*) FROM users LEFT JOIN user_phone_numbers ON users.main_phone_number_id=user_phone_numbers.id LEFT JOIN user_phone_numbers AS upn ON users.id=upn.id_user WHERE users.user_name LIKE '%';
DROP TABLE sss; SELECT * FROM users where id='%%' OR users.user_surname LIKE '%'; DROP TABLE test;
SELECT * FROM users where id='%%' GROUP BY users.id
Skúste si vyfiltrovať daný text a pozrite sa, čo sa stane, tabuľka v našej databáze je zmazaná! A to sme nechceli, návštevník stránky iba niečo špeciálne vyfiltroval a keby zmazal users, tak nenávratne prídeme takýmto krokom o všetky dáta v databáze. Už vidíte, aké to je nebezpečné? Keď sa pozriete na query čo sa stalo, tak je to pochopiteľné. Úvodzovkou a bodkočiarkou sme uzavreli select, keďže je to na filtrovanie, dá sa ľahko predpokladať, že daná hodnota bude obsahom WHERE podmienky. Následne sme zadali príkaz na vymazanie tabuľky. A potom sme dali nový select, aby sme k nemu pripojili zvyšok query, pretože sme ho predčasne uzavreli. Tam sme dali ľubovoľný select, len aby query nehodilo chybu.
Takto sme z jedného príkazu spravili tri, ovšem ten stredný slúži na útok na databázu. Možno ste si povedali, no dobre, ale ako bude vedieť útočník, aký máme presne SELECT a aký máme názov tabuľky. Máte pravdu, nemá to skade vedieť, môže ale skúšať a možno sa trafí.
Možností pre takýto útok je viacero, niekedy je zmazanie ešte tá lepšia vec. Čo keď sú ale v databáze uložené citlivé dáta a nejakým takýmto útokom by k ním útočník prišiel? Napríklad nevykonával by príkaz na zmazanie tabuľky ale možno by použil nejaký select, aby získal prihlasovacie údaje v databáze alebo iné citlivé (súkromné) údaje? Možností je veľa. A ciest takisto. Všade, kde sa zadávajú parametre v URL alebo cez formuláre a ide to databázy, je tam takáto hrozba. Tento druh útoku sa volá SQL Injection, pretože útočník (inject – vstreknúť) akokeby vstrekol/vsunul vlastný SQL kód cez parameter.
Ako sa voči tomu brániť? Jednoduché riešenie, pokiaľ to je možné a neobmedzí to fungovanie systému, je kontrolvať hodnoty pred vložením do query stringu. Napríklad použiť regulárne výrazy alebo len jendoducho odifovať, či sa v stringu nenachádza nejaký zakázaný string ako bodkočiarka, úvodzovky, select, drop, delete a podobne.
V niektorých prípadoch je to ale obmedzenie, lebo niekedy sa takéto slová môžu nachádzať v databáze, napríklad úvodzovka môže byť súčasťou nejakého stringu, ktorý sa vkladá do databázy. V tomto prípade je nutné použiť náročnejšiu ochranu a to iné volanie query v db. V tomto prípade sa takéto hodnoty zadané zvonka pridávajú do query ako parametre, ktoré sú kontrolované samotným db serverom (parametrizované query). Čiže do query sa vloží len info, že niečo tam bude pridané (parameter), ale tento parameter sa pridáva až následne osobitnými funkciami. V takomto prípade je query akokeby kontrolovaná a vykonávaná osobitne, takže to zabraňuje tomuto typu útoku. Nám by ale stačil v tomto prípade zatiaľ prvý prípad, s ktorým by sme nemali mať problém ho zakomponovať a možno neskôr sa dostaneme aj k parametrizovaným query...