Защита от SQL-инъекций в postgresql

Tr3v0r · 20.09.2016, 16:34

Всем привет! Есть следующий код на питоне/постгресе:

return do_sql_query(""" SELECT user, pass FROM users WHERE user = '{0}', pass = '{1}' """.format(username.replace("'", "''"), password.replace("'", "''"))

Параметры username и password контролирует удаленный пользователь.

Подскажите, пожалуйста, достаточно ли такого реплэйса для предотвращения инъекции?

Где-то видел статью, описывающую эксплуатацию такой (подобной) ситуации, но сейчас не могу найти ее. Там в качестве пайлоада передавали также обратную косую для экранирования первой кавычки, однако мне не удается повторить это. Запрос не ломается если в него попадают две одинарные кавычки, они расцениваются как символ строки.

HeartLESS · 20.09.2016, 20:47

Цитата:

Сообщение от Tr3v0r

Всем привет! Есть следующий код на питоне/постгресе:

return do_sql_query(""" SELECT user, pass FROM users WHERE user = '{0}', pass = '{1}' """.format(username.replace("'", "''"), password.replace("'", "''"))

Параметры username и password контролирует удаленный пользователь.

Подскажите, пожалуйста, достаточно ли такого реплэйса для предотвращения инъекции?

Где-то видел статью, описывающую эксплуатацию такой (подобной) ситуации, но сейчас не могу найти ее. Там в качестве пайлоада передавали также обратную косую для экранирования первой кавычки, однако мне не удается повторить это. Запрос не ломается если в него попадают две одинарные кавычки, они расцениваются как символ строки.

username=\&password= or 1=1 -- -

Или в постгресе иначе экранируется? Так или иначе, не изобретай велосипед, всегда есть prepared statement

Tr3v0r · 21.09.2016, 18:40

Цитата:

Сообщение от HeartLESS

Или в постгресе иначе экранируется? Так или иначе, не изобретай велосипед, всегда есть prepared statement

Я понимаю, что нужно использовать плейсхолдеры или нормальное экранирование. Однако интересна именно эта ситуация.

Цитата:

Сообщение от HeartLESS

username=\&password= or 1=1 -- -

В pgadmin'е пробую:
SELECT 'foo''bar' -> "foo'bar"
SELECT 'foo\''bar' -> "foo\'bar"
SELECT 'foo\\''bar' -> "foo\\'bar"
Не удается заэкранировать

20.09.2016, 16:34	#1
Tr3v0r Регистрация: 20.09.2016 Сообщений: 2 Репутация: 0	Защита от SQL-инъекций в postgresql Всем привет! Есть следующий код на питоне/постгресе: return do_sql_query(""" SELECT user, pass FROM users WHERE user = '{0}', pass = '{1}' """.format(username.replace("'", "''"), password.replace("'", "''")) Параметры username и password контролирует удаленный пользователь. Подскажите, пожалуйста, достаточно ли такого реплэйса для предотвращения инъекции? Где-то видел статью, описывающую эксплуатацию такой (подобной) ситуации, но сейчас не могу найти ее. Там в качестве пайлоада передавали также обратную косую для экранирования первой кавычки, однако мне не удается повторить это. Запрос не ломается если в него попадают две одинарные кавычки, они расцениваются как символ строки.

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид