Paket spatie untuk Laravel membantu mencegah injeksi SQL terutama melalui penggunaan metode pembangunan kueri yang aman dan mekanisme penyaringan yang menghindari menyematkan langsung input pengguna ke dalam kueri SQL mentah. Fungsi dan fitur utama dalam paket spatie yang membantu dalam mencegah injeksi SQL meliputi:
- Metode yang diizinkan (): Fungsi ini memungkinkan Anda untuk menentukan filter mana yang diizinkan pada kueri, secara efektif membuat daftar putih parameter kueri yang dapat diterima. Dengan membatasi filter hanya pada yang diizinkan secara eksplisit, itu mencegah penyerang menyuntikkan SQL berbahaya melalui parameter kueri yang tidak terduga atau tidak aman [2].
- Penggunaan pembangun kueri Laravel dan ORM yang fasih: Paket Spatie memanfaatkan pembangun permintaan Laravel dan ORM yang fasih, yang secara internal menggunakan kueri parameter dan pernyataan yang disiapkan. Mekanisme ini secara otomatis mengikat input pengguna sebagai parameter daripada menggabungkannya ke dalam string SQL mentah, sehingga mencegah serangan injeksi [1] [4].
- Menghindari fungsi SQL mentah yang tidak aman: Paket mendorong menghindari kueri SQL mentah yang secara langsung menginterpolasi input pengguna. Sebaliknya, ia mempromosikan menggunakan abstraksi yang aman seperti filter dan ruang lingkup yang membersihkan dan memvalidasi input sebelum mereka mencapai lapisan kueri [2] [3].
Singkatnya, paket spatie AIDS SQL Injection Prevention dengan memberikan bahasa khusus domain yang lebih aman (DSL) untuk memfilter dan meminta yang mengandalkan pembangun permintaan aman Laravel. Fungsi spesifiknya seperti `diizinkanFilters ()` membantu input daftar putih, memastikan hanya parameter yang aman dan divalidasi digunakan dalam kueri, sehingga mengurangi risiko injeksi SQL secara efektif [2].
Kutipan:
[1] https://escape.tech/blog/laravel-sql-clection-guide/
[2] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[3] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[4] https://www.kiuwan.com/blog/top-5-best-practices-for-develever-on-preventing-sql-injections-Attacks/
[5] https://www.baeldung.com/sql-lection
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php
[7] https://stackoverflow.com/questions/1862036/how-do-i-protect-this-function-from-sql-injection
[8] https://cheatsheetseries.owasp.org/cheatsheets/sql_iNjection_prevention_cheat_sheet.html