Il pacchetto spatie, in particolare il pacchetto di permissione Laravel, aiuta a prevenire l'iniezione di SQL principalmente attraverso la sua integrazione con i meccanismi di sicurezza integrati di Laravel piuttosto che implementando direttamente le proprie caratteristiche di prevenzione dell'iniezione SQL. Ecco come contribuisce in dettaglio alla prevenzione dell'iniezione di SQL:
1. Sfruttando il costruttore di query di Laravel ed eloquente ORM
Il pacchetto di Spatie utilizza Orm e costruttore di query eloquenti di Laravel per interagire con il database. Builder di query di Laravel ed eloquente usano automaticamente query parametrizzate e istruzioni preparate, che separano il codice SQL dai dati di input dell'utente. Ciò significa che gli input dell'utente non vengono mai concatenati direttamente in stringhe SQL, impedendo agli aggressori di iniettare codice SQL dannoso. Laravel sfugge ai valori di input correttamente prima di eseguire le query, mitigando così i rischi di iniezione di SQL [1] [5].
2. Ruolo e gestione delle autorizzazioni senza domande grezze
Il pacchetto Spatie gestisce ruoli e autorizzazioni attraverso modelli eloquenti come `ruolo` e` autorizzazione '. Quando si assegnano autorizzazioni o ruoli, si utilizzano metodi come `$ Role-> GiveStimissionTO ($ autorizzazione)`, che usano internamente i metodi di costruzione di query di Laravel. Ciò evita query RAW SQL che sono soggette a vulnerabilità di iniezione [1].
3. Evitare domande dinamiche non sicure
Mentre il costruttore di query di Laravel protegge dall'iniezione di valori, non protegge automaticamente i nomi di colonne dinamiche o i frammenti SQL grezzi. Il pacchetto spatie evita SQL dinamico non sicuro non consentendo all'input dell'utente non filtrato di influenzare direttamente la struttura della query (come i nomi delle colonne o le clausole d'ordine), che è un vettore di iniezione comune. Ciò è importante perché la protezione di Laravel si applica ai valori ma non agli identificatori SQL come i nomi delle colonne [7].
4. Incoraggiare il principio del minimo privilegio
Il pacchetto incoraggia anche le migliori pratiche come limitare le autorizzazioni di database per gli utenti. Assegnando solo le autorizzazioni necessarie agli utenti del database, anche se si verifica un attacco di iniezione, il danno è limitato. Questo principio di minimo privilegio completa la prevenzione dell'iniezione SQL riducendo il potenziale impatto di attacco [1].
5. Nessun utilizzo Direct RAW SQL
Il pacchetto evita di utilizzare query SQL grezzi ove possibile. Se sono necessarie query grezze, l'approccio raccomandato di Laravel è quello di utilizzare esplicitamente dichiarazioni preparate o parametri per garantire che gli input siano sanificati, a cui si aderisce Spatie facendo affidamento sul costruttore di query di Laravel e Orm eloquente [5].
In sintesi, il pacchetto spatie aiuta a prevenire l'iniezione di SQL facendo affidamento sui meccanismi di costruzione di query e parametri di Laravel, evitando SQL grezzi non sicuri e promuovendo le migliori pratiche come il minimo privilegio. Non sta implementando essa stessa la prevenzione dell'iniezione SQL, ma sfrutta le robuste funzionalità di Laravel per garantire interazioni di database sicure quando si gestiscono ruoli e autorizzazioni [1] [5] [7].
Citazioni:
[1] https://escape.tech/blog/laravel-sql-iniection-guide/
[2] https://www.stackhawk.com/blog/sql-iniection-prevention-laravel/
[3] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[4] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[5] https://pentest-tools.com/blog/laravel-application-security-guide
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-inietion-in-php
[7] https://swiftmade.co/blog/2019-04-10-orderby-sql-iniection/
[8] https://www.cunetix.com/websitecurity/sql-iniection/