Balík Spatie, konkrétne balík Laravel-Permission, pomáha predovšetkým predchádzať injekcii SQL predovšetkým prostredníctvom integrácie so vstavanými bezpečnostnými mechanizmami spoločnosti Laravel, a nie priamo implementáciou vlastných funkcií prevencie vstrekovania SQL. Takto to prispieva podrobne k prevencii vstrekovania SQL:
1. Využívanie Laravelovho dotazu a výrečný orm
Spatieho balík používa Laravelovu výrečku Orm a Query Builder na interakciu s databázou. Laravel's Query Builder a Eloquent automaticky používajú parametrizované dotazy a pripravené príkazy, ktoré oddeľujú kód SQL od vstupných údajov používateľa. To znamená, že vstupy používateľov sa nikdy priamo zreťazia do reťazcov SQL, čo bráni útočníkom v vstrekovaní škodlivého kódu SQL. Laravel pred vykonaním dopytov správne unikne vstupné hodnoty, čím sa zmierňuje riziká vstrekovania SQL [1] [5].
2. Riadenie úloh a povolení bez surových dotazov
Balík Spatie spravuje úlohy a povolenia prostredníctvom výrečných modelov, ako je „Role“ a „Povolenie“. Keď priradíte povolenia alebo úlohy, používate metódy, ako napríklad „$ rola-> getpermissionTo ($ povolenie)`, ktoré interne používajú metódy bezpečného dotazu Laravel. Tým sa vyhýba surovým dotazom SQL, ktoré sú náchylné na zraniteľné miesta v injekcii [1].
3. Vyhýbanie sa nebezpečným dynamickým dotazom
Zatiaľ čo spoločnosť Laravel's Query Builder chráni pred injekciou do hodnôt, automaticky neochvej chráni dynamické názvy stĺpcov alebo surové fragmenty SQL. Balík Spatie sa vyhýba nebezpečnému dynamickému SQL tým, že nedovolí nefiltrovaným vstupom používateľa priamo ovplyvniť štruktúru dopytu (ako sú názvy stĺpcov alebo doložky o objednávke), čo je spoločný injekčný vektor. Je to dôležité, pretože ochrana Laravela sa vzťahuje na hodnoty, ale nie na identifikátory SQL, ako sú názvy stĺpcov [7].
4. Podpora princípu najmenších privilégií
Balík tiež podporuje osvedčené postupy, ako napríklad obmedzenie povolení na databázu pre používateľov. Priradením potrebných povolení používateľom databázy, aj keď dôjde k injekčnému útoku, je poškodenie obmedzené. Tento princíp najmenších privilégií dopĺňa prevenciu vstrekovania SQL znížením potenciálneho útoku na útok [1].
5. Žiadne priame RAW SQL využitie
Balík sa vyhýba používaniu RAW SQL Dotazy, ak je to možné. Ak sú potrebné surové dotazy, Laravelovým odporúčaným prístupom je použitie pripravených príkazov alebo väzby parametrov explicitne na zabezpečenie dezinfekcie vstupov, ktoré sa dodržiavajú tým, že sa spoliehajú na Laravelove dotaz a výrečnú ORM [5].
Stručne povedané, balík Spatie pomáha predchádzať vstrekovaniu SQL tým, že sa spolieha na mechanizmy Building Building and Parameter Building a mechanizmy viazania parametrov, vyhýbajú sa nebezpečnej surovej SQL a propagáciou osvedčených postupov, ako je najmenšia privilégium. Samotný implementuje prevenciu vstrekovania SQL, ale využíva robustné funkcie spoločnosti Laravel, aby sa zabezpečilo bezpečné interakcie databázy pri riadení rolí a povolení [1] [5] [7].
Citácie:
[1] https://escape.tech/blog/laravel-sql-incance-guide/
[2] https://www.stackhawk.com/blog/sql-incance-pvention-laravel/
[3] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[4] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[5] https://penst-tools.com/blog/laravel-application-security-guide
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-incance-in-in-php
[7] https://swiftmade.co/blog/2019-04-10-orderby-sql-incance/
[8] https://www.acunetix.com/websitesecurity/sql-incange/