„Laravel“ „Spatie“ paketas padeda užkirsti kelią SQL injekcijai pirmiausia naudojant saugių užklausų kūrimo metodus ir filtravimo mechanizmus, kurie vengia tiesiogiai įterpti vartotojo įvestį į neapdorotus SQL užklausas. Pagrindinės „Spatie“ paketo funkcijos ir funkcijos, padedančios užkirsti kelią SQL injekcijai:
- Leidžiami filtrai () metodas: Ši funkcija leidžia nurodyti, kurie filtrai leidžiami už užklausos, veiksmingai baltajame sąraše priimtinų užklausų parametrų. Apribojant filtrus tik į tuos, kurie buvo aiškiai leidžiami, jis neleidžia užpuolikams švirkšti kenkėjiškų SQL per netikėtus ar nesaugius užklausų parametrus [2].
- „Laravel“ užklausų kūrimo ir iškalbos ORM naudojimas: „Spatie“ paketas pasitelkia „Laravel“ užklausų kūrimą ir iškalbingą ORM, kuris iš vidaus naudoja parametrizuotas užklausas ir paruoštus teiginius. Šie mechanizmai automatiškai suriša vartotojo įvestis kaip parametrus, o ne sujungia juos į neapdorotus SQL eilutes, taip užkertant kelią injekcijų atakoms [1] [4].
- Vengimas nesaugių neapdorotų SQL funkcijų: paketas skatina išvengti neapdorotų SQL užklausų, kurios tiesiogiai interpoliuoja vartotojo įvestį. Vietoj to, jis skatina naudoti saugias abstrakcijas, tokias kaip filtrai ir apimtys, kurios dezinfekuoja ir patvirtina įvestis prieš jiems pasiekiant užklausos sluoksnį [2] [3].
Apibendrinant galima pasakyti, kad „Spatie“ paketas padeda SQL injekcijų prevencijai, pateikdamas saugesnę domeno kalbą (DSL) filtravimui ir užklausoms, kuriomis remiasi „Laravel“ saugus užklausų kūrimas. Specifinės jo funkcijos, tokios kaip „leidžiami filteriai“ () „Padėkite baltojo sąrašo įvestis, užtikrinant, kad užklausose naudojami tik saugūs, patvirtinti parametrai, taigi efektyviai mažina SQL įpurškimo riziką [2].
Citatos:
[1] https://escape.tech/blog/laravel-sql injection-guide/
[2] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_funkctions_be_aware_of_your/
[3] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[4] https://www.kiuwan.com/blog/top-5-best-praktices-for-developers-on-preventing-sql-injections-attacks/
[5] https://www.baLdung.com/sql injection
[6] https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-innection-in-php
[7] https://stackoverflow.com/questions/1862036/how-do--ri-protect-thisfunction-from-sql innection
[8] https://cheatsheetseries.owasp.org/cheatsheets/SQL_INEMT_PREVENTION_CHEAT_SHEET.HTML