Paket middleware injeksi SQL di Laravel bekerja dengan mencegat permintaan HTTP yang masuk dan memeriksa data input untuk mendeteksi dan mencegah serangan injeksi SQL sebelum mereka mencapai logika aplikasi atau lapisan basis data. Berikut adalah penjelasan terperinci tentang bagaimana fungsi middleware seperti itu:
Fungsionalitas inti
- Middleware bertindak sebagai filter pada data permintaan HTTP, termasuk parameter kueri, input formulir, dan data yang disediakan pengguna lainnya.
- Ini memvalidasi dan membersihkan input ini untuk memastikan mereka tidak mengandung kode SQL berbahaya atau pola yang dapat digunakan untuk memanipulasi kueri SQL.
- Dengan membersihkan input lebih awal, itu mencegah data yang tidak aman dari diteruskan ke kueri SQL mentah atau pembangun permintaan yang mungkin rentan terhadap injeksi.
Mekanisme teknis
-Middleware biasanya memindai string input untuk karakter yang mencurigakan atau kata kunci SQL yang biasanya digunakan dalam serangan injeksi, seperti `',`; `,` --`, `drop`,` pilih`, dll.
- Ini mungkin lolos atau menghapus karakter berbahaya atau menolak permintaan langsung jika pola berbahaya terdeteksi.
- Beberapa paket middleware juga menyediakan penebangan input yang mencurigakan yang dapat dikonfigurasi, memungkinkan pengembang untuk memantau dan menganalisis potensi upaya serangan.
- Middleware dapat diterapkan secara global ke semua rute atau secara selektif pada rute tertentu yang membutuhkan perlindungan ekstra.
Integrasi di Laravel
- Paket diinstal melalui komposer dan dikonfigurasi dengan menerbitkan file konfigurasinya.
- Middleware terdaftar di kernel HTTP Laravel baik secara global atau sebagai middleware rute.
- Setelah terdaftar, secara otomatis memproses setiap permintaan yang masuk atau yang dialihkan melalui itu.
- Pengembang dapat menyesuaikan perilaku seperti pencatatan, pemblokiran, atau strategi sanitasi melalui konfigurasi.
Perlindungan tambahan
- Selain injeksi SQL, beberapa paket middleware juga melindungi dari injeksi LDAP dengan membersihkan input yang digunakan dalam kueri layanan direktori.
- Middleware melengkapi perlindungan bawaan Laravel seperti ORM yang fasih dan pengikatan parameter pembangun kueri, yang secara otomatis lolos dari input dalam banyak kasus.
- Ini sangat berguna ketika kueri SQL mentah atau ekspresi mentah (`whereraw`,` selectraw`) digunakan, yang secara inheren berisiko.
Contoh Penggunaan
-Setelah menginstal paket middleware (mis., Via `Composer memerlukan protection/sql-query-fotection`), Anda menerbitkan konfigurasi dan menghapus cache.
- Anda mendaftarkan middleware di `app/http/kernel.php` baik secara global atau sebagai middleware rute.
- Permintaan yang masuk kemudian difilter oleh middleware, yang membersihkan input atau memblokir kueri berbahaya sebelum mencapai pengontrol atau lapisan database Anda.
Singkatnya, paket middleware injeksi SQL di Laravel berfungsi sebagai lapisan keamanan proaktif yang meneliti dan membersihkan input pengguna di tingkat permintaan HTTP untuk mencegah serangan injeksi SQL. Ini meningkatkan perlindungan asli Laravel dengan menargetkan kueri mentah dan pola input yang mencurigakan, memberikan kemampuan logging dan pemblokiran yang dapat dikonfigurasi untuk melindungi aplikasi dan database [3] [4] [5].
Kutipan:
[1] https://escape.tech/blog/laravel-sql-clection-guide/
[2] https://www.stackhawk.com/blog/sql-crevention-laravel/
[3] https://github.com/aswinsasi/Injection-protector
[4] https://gist.github.com/bewithdhanu/3acd9a44c74e9f2696a5e41692fa89a3
[5] https://acquaintsoft.com/answers/what-is-sql-potection-in-laravel
[6] https://stackoverflow.com/questions/15778572/preventing-sql-lection-in-node-js
[7] https://cheatsheetseries.owasp.org/cheatsheets/laravel_cheat_sheet.html
[8] https://stackoverflow.com/questions/35439234/laravel-dependency-injection-in-middleware