Spatie-pakett, eriti Laravel-Parmission pakett, aitab vältida SQL-i süstimist peamiselt selle integreerimise kaudu Laraveli sisseehitatud turvamehhanismidega, mitte aga oma SQL-i süstimise ennetamise funktsioone rakendades. Siin on see, kuidas see aitab kaasa SQL -i süstimise ennetamisele üksikasjalikult:
1. Laraveli päringuehitaja ja kõnekas Orm võimendamine
Spatie pakett kasutab andmebaasiga suhtlemiseks Laraveli kõnekat ORM -i ja Query Builderit. Laraveli päringuehitaja ja kõnekad kasutavad automaatselt parameetriseeritud päringuid ja ettevalmistatud avaldusi, mis eraldavad SQL -koodi kasutaja sisendandmetest. See tähendab, et kasutaja sisendeid ei ühendata kunagi otse SQL -stringidega, takistades ründajaid süstimast pahatahtlikku SQL -koodi. Laravel pääseb sisendväärtustest enne päringute täitmist korralikult, leevendades sellega SQL -i süstimisriske [1] [5].
2. Rolli ja lubade haldamine ilma toorete päringuteta
Spatie pakett haldab rolle ja õigusi kõnekate mudelite kaudu nagu roll ja loa. Kui määrate õigused või rollid, kasutate selliseid meetodeid nagu `$ roll-> GivePermissionTo ($ luba)`, mis kasutavad sisemiselt Laraveli ohutut päringu loomise meetodeid. See väldib süstimise haavatavustele altid SQL -i päringuid [1].
3. ohtlike dünaamiliste päringute vältimine
Kuigi Laraveli päringu ehitaja kaitseb väärtuste süstimise eest, ei kaitse see automaatselt dünaamilisi veeru nimesid ega SQL -i töötlemata fragmente. Spatie pakett väldib ohtlikku dünaamilist SQL -i, kui ei võimalda filtreerimata kasutaja sisendit otseselt mõjutada päringu struktuuri (näiteks veeru nimesid või tellimisklausleid), mis on tavaline süstimisvektor. See on oluline, kuna Laraveli kaitse kehtib väärtuste suhtes, kuid mitte SQL -identifikaatoritele nagu veeru nimed [7].
4. Väiksema privileegi põhimõtte julgustamine
Pakett soodustab ka parimaid tavasid, näiteks kasutajate andmebaasi lubade piiramine. Määrates andmebaasi kasutajatele ainult vajalikud õigused, isegi kui süstimise rünnak ilmneb, on kahju piiratud. See väikseima privileegi põhimõte täiendab SQL -i süstimise ennetamist, vähendades võimalikku rünnaku mõju [1].
5. Otsene RAW SQL -i kasutamine puudub
Pakett väldib võimaluse korral töötlemata SQL -päringute kasutamist. Kui töötlemata päringud on vajalikud, on Laraveli soovitatud lähenemisviis kasutamine ettevalmistatud avalduste või parameetri kasutamine sisendite desinfitseerimiseks selgesõnaliselt, millesse Spatie järgib, tuginedes Laraveli päringuehitajale ja kõnekale ORM -ile [5].
Kokkuvõtlikult võib öelda, et Spatie pakett aitab vältida SQL -i süstimist, tuginedes Laraveli turvalisele päringu ehitamisele ja parameetrite sidumismehhanismidele, vältides ohtlikku toort SQL -i ja edendades parimaid tavasid nagu kõige vähem privileegi. See ise ei rakenda SQL -i süstimise ennetamist, vaid kasutab Laraveli tugevaid funktsioone, et tagada rollide ja lubade haldamisel ohutu andmebaasi koostoime [1] [5] [7].
Tsitaadid:
]
[2] https://www.stackhawk.com/blog/sql-presection-prevention-laravel/
]
[4] https://stitcher.io/blog/unsafe-sql-funktsioonid
]
]
]
]