Il pacchetto spatie per Laravel aiuta a prevenire l'iniezione SQL principalmente attraverso il suo utilizzo di metodi di costruzione di query sicuri e meccanismi di filtraggio che evitano di incorporare direttamente l'input degli utenti in query SQL grezzi. Le funzioni e le funzionalità chiave nel pacchetto spatie che aiutano a prevenire l'iniezione di SQL includono:
- Metodo consentito Filters (): questa funzione consente di specificare quali filtri sono consentiti su una query, effettivamente whitelisting Parametri di query accettabili. Limitando i filtri solo a quelli esplicitamente consentiti, impedisce agli aggressori di iniettare SQL dannoso attraverso parametri di query imprevisti o non sicuri [2].
- Uso del costruttore di query di Laravel e ORM eloquente: il pacchetto spatie sfrutta il costruttore di query di Laravel ed eloquente ORM, che utilizzano internamente query parametrizzate e dichiarazioni preparate. Questi meccanismi legano automaticamente gli input degli utenti come parametri piuttosto che concatenarli in stringhe SQL grezzi, impedendo così attacchi di iniezione [1] [4].
- Evitamento di funzioni SQL grezze non sicure: il pacchetto incoraggia a evitare query SQL grezzi che interpolano direttamente l'input dell'utente. Invece, promuove l'utilizzo di astrazioni sicure come filtri e ambiti che disinfettano e convalidano gli input prima di raggiungere il livello di query [2] [3].
In sintesi, il pacchetto spatie aiuta la prevenzione dell'iniezione SQL fornendo un linguaggio più sicuro specifico del dominio (DSL) per il filtraggio e l'interrogazione che si basano sul costruttore di query sicuro di Laravel. Le sue funzioni specifiche come `consentitefilters ()` aiutano gli input di whitelist, garantendo solo parametri sicuri e validati vengono utilizzati nelle query, mitigando così efficacemente i rischi di iniezione di SQL [2].
Citazioni:
[1] https://escape.tech/blog/laravel-sql-iniection-guide/
[2] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[3] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[4] https://www.kiuwan.com/blog/top-5-best-practices-for-developers-on-preventing-sql-iniections-attacks/
[5] https://www.baeldung.com/sql-inject
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-inietion-in-php
[7] https://stackoverflow.com/questions/1862036/how-do--protect-this-function-from-sql-iniection
[8] https://cheatheetseries.owasp.org/cheatheets/sql_injection_prevent_cheat_sheet.html