Пакет Spatie для Laravel допомагає запобігти ін'єкції SQL насамперед завдяки використанню безпечних методів побудови запитів та механізмів фільтрації, які уникають безпосередньо вбудовування введення користувачів у необроблені запити SQL. Ключові функції та функції в пакеті Spatie, які допомагають запобігти ін'єкції SQL, включають:
- Метод дозволенихфільтерів (): Ця функція дозволяє вказати, які фільтри дозволені на запит, ефективно білітиніст прийнятних параметрів запиту. Обмежуючи фільтри лише тих, хто прямо дозволений, це запобігає зловмисникам вводити шкідливі SQL через несподівані або небезпечні параметри запитів [2].
- Використання будівельника запитів Laravel та красномовних ORM: пакет Spatie використовує будівельника та красномовних ORM Laravel, який внутрішньо використовує параметризовані запити та підготовлені заяви. Ці механізми автоматично пов'язують входи користувачів як параметри, а не обертають їх у RAW SQL -рядки, тим самим запобігаючи атакам ін'єкцій [1] [4].
- Уникнення небезпечних сировинних функцій SQL: Пакет заохочує уникати необроблених запитів SQL, які безпосередньо інтерфолюють введення користувача. Натомість він сприяє використанню безпечних абстракцій, таких як фільтри та області, що дезінфікують та підтверджують входи, перш ніж вони досягнуть шару запитів [2] [3].
Підводячи підсумок, пакет Spatie сприяє запобіганню ін'єкцій SQL, надаючи безпечнішу мову, що стосується домену (DSL) для фільтрації та запитів, що покладається на захищені конструкції запитів Laravel. Її конкретні функції, такі як "дозволені Filters ()` Допомога білих вхідних даних, забезпечуючи лише безпечні, затверджені параметри, використовуються в запитах, таким чином ефективно пом'якшуючи ризики ін'єкцій SQL [2].
Цитати:
[1] https://escape.tech/blog/laravel-sql-injection-guide/
[2] https://www.reddit.com/r/laravel/comments/bbxhoc/unsafe_sql_functions_be_aware_of_your/
[3] https://stitcher.io/blog/unsafe-sql-functions-in-laravel
[4] https://www.kiuwan.com/blog/top-5-best-practices-for-developers-on-preventing-sql-injections-attacks/
[5] https://www.baeldung.com/sql-injection
[6] https://stackoverflow.com/questions/60174/how-can-prevent-sql-injection-in-php
[7] https://stackoverflow.com/questions/1862036/how-doi-protect-this-function-from-sql-injection
[8] https://cheatsheetseries.owasp.org/cheatsheets/sql_injection_prevention_cheat_sheet.html