Пакет Spatie, в частности, пакет Permission Laravel, помогает в предотвращении инъекции SQL, главным образом, благодаря своей интеграции со встроенными механизмами безопасности Laravel, а не путем непосредственного внедрения собственных функций профилактики инъекции SQL. Вот как это вносит подробную информацию о профилактике инъекций SQL:
1. Использование строителя запросов Ларавела и красноречивого ORM
В пакете Spatie используется Eloave Orm и Запрос -Строитель Laravel's Scery для взаимодействия с базой данных. Строитель запросов Laravel и красноречивый автоматически использует параметризованные запросы и подготовленные операторы, которые отделяют код SQL от пользовательских входных данных. Это означает, что пользовательские входы никогда не могут напрямую соединяться в строки SQL, не позволяя злоумышленникам вводить злонамеренный код SQL. Ларавел ускользает от входных значений должным образом перед выполнением запросов, тем самым смягчая риски инъекции SQL [1] [5].
2. Роль и управление разрешениями без необработанных запросов
Пакет Spatie управляет ролями и разрешениями с помощью красноречивых моделей, таких как «Роль» и «разрешение». Когда вы назначаете разрешения или роли, вы используете такие методы, как `$ ROLE-> DivePermissionTO ($ разрешение)`, которые внутренне используют методы безопасного строительства запросов Laravel. Это позволяет избежать необработанных запросов SQL, которые подвержены уязвимостям инъекций [1].
3. Избегание небезопасных динамических запросов
В то время как строитель запросов Laravels защищает от инъекции в значениях, он не автоматически защищает динамические имена столбцов или необработанные фрагменты SQL. Пакет Spatie избегает небезопасного динамического SQL, не позволяя нефильтрованному пользовательскому вводу напрямую влиять на структуру запросов (например, имена столбцов или положения порядка), который является общим вектором впрыска. Это важно, потому что защита Ларавела применима к значениям, но не к идентификаторам SQL, как имена столбцов [7].
4. Поощрение принципа наименее привилегии
Пакет также поощряет лучшие практики, такие как ограничение разрешений базы данных для пользователей. Присваивая только необходимые разрешения пользователям базы данных, даже если происходит инъекционная атака, ущерб ограничен. Этот принцип наименьшей привилегии дополняет профилактику инъекций SQL за счет снижения потенциального воздействия атаки [1].
5. Нет прямого использования SQL SQL
Пакет избегает использования необработанных запросов SQL, где это возможно. Если необходимы необработанные запросы, рекомендуемый Laravels подход заключается в том, чтобы явно использовать подготовленные операторы или привязку к параметрам, чтобы гарантировать, что входные данные дезинфицируются, которые Spatie придерживается, полагаясь на строитель запросов Laravel и красноречивый ORM [5].
Таким образом, пакет Spatie помогает предотвратить инъекцию SQL, полагаясь на безопасные механизмы строительства и привязки к параметрам Laravel, избегая небезопасного SQL, и продвигая лучшие практики, такие как наименьшая привилегия. Он сам не реализует профилактику инъекций SQL, но использует надежные функции Laravel для обеспечения безопасных взаимодействий базы данных при управлении ролями и разрешениями [1] [5] [7].
Цитаты:
[1] https://escape.tech/blog/laravel-sql-nection-guide/
[2] https://www.stackhawk.com/blog/sql-nection-prevention-laravel/
[3] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[4] https://stitcher.io/blog/unsafe-sql-cunctions-in-laravel
[5] https://pentest-tools.com/blog/laravel-application-security-guide
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-nection-in-php
[7] https://swiftmade.co/blog/2019-04-10-orderby-sql-nection/
[8] https://www.acunetix.com/websitesecurity/sql-nection/