Коллектив авторов - Защита от хакеров корпоративных сетей

$data =~ s/[^0-9]//g

Ключ g указывает на необходимость обработки всех, в том числе и одинаковых, символов строки. В состав модуля интерфейса базы данных DBI (Database Interface) входит функция работы с кавычками quote, которой передается строка запроса SQL и которая возвращает ее копию с правильно расставленными с точки зрения запроса кавычками, в том числе расставляя корректные кавычки по концам строки:

$clean = $db->quote($data)

Следует подчеркнуть, что функция обрамляет строку одинарными кавычками, так что правильный запрос SQL выглядит таким образом:

SELECT * FROM table WHERE x=$data,

а не так:

SELECT * FROM table WHERE x=’$data’

Язык разметки COLD Fusion

Для удаления нежелательных символов из строки данных можно использовать функции языка разметки COLD Fusion (CFML–COLD Fusion Markup Language), поддерживающие регулярные выражения regex.К их числу принадлежит функция REReplace.

REReplace(data, “regex pattern”, “replace with”, “ALL”)

Параметр «ALL» указывает функции на необходимость выполнить замену символов во всей строке в соответствии с шаблоном. Например, чтобы оставить в строке data только числа, следует вызвать функцию:

REReplace(data, “[^0-9]”, “”, “ALL”)

В языке разметки CFML предусмотрена функция, которая, в отличие от функции REReplace, заменяет только один символ на другой или одну строку на другую (но не группу символов). Реже используется функция replacelist. Она применяется для замены одних известных символов на другие:

ReplaceList(data, “|,!,$”, “X,Y,Z”)

В этом примере символы «1!$» заменяются символами «XYZ».

Технология ASP

В новейшей технологии ASP (Active Server Pages), разработанной корпорацией Microsoft, представлен новый regex-объект регулярных выражений. Его используют для замены данных по шаблону, например:

set reg = new RegExp

reg.pattern = “[^a-zA-Z0-9]”

data = reg.replace(data, “”)

Для замены символов можно использовать системную настраиваемую функцию replace, но для этого нужен навык обращения с функцией посимвольной замены. Например, следующий код используется для оставления в строке только чисел:

function ReplaceFunc(MatchedString) {

return “”;}

var regex = /[^0-9]/g;

data = data.replace(regex, ReplaceFunc);

В фрагменте кода задана функция ReplaceFunc, которая вызывается для каждого заменяемого символа функцией replace в соответствии с шаблоном regex. В ранних версиях ASP единственным способом проверки символов в строке было сравнение каждого символа строки с заданными ограничениями: проверяемый символ принадлежит или не принадлежит заданному диапазону значений величин ASCII, либо удовлетворяет или не удовлетворяет заданным логическим условиям. Излишне говорить, что метод регулярных выражений regex стал долгожданным нововведением.

Язык PHP

В языке программирования PHP предусмотрен ряд функций, полезных для обработки непредвиденных данных и данных неверного формата. Для фильтрации данных в соответствии с заданным набором символов можно использовать функцию замены ereg_replace языка PHP, основанную на регулярных выражениях regex:

ereg_replace(“regex string”, “replace with”, $data)

Ниже приведен вариант вызова функции для удаления из строки всех нечисловых символов:

ereg_replace(“[^0-9]”, “”, $data)

Вспомните, что шаблон «[^0–9]» означает, что надо заменить все, что не является числом на строку «», которая является пустой строкой, а значит, нечисловой символ удаляется. Для пропуска символов из небольшого набора метасимволов (символов специального назначения) в PHP включена функция quotemeta:

$clean = quotemeta($data)

При использовании функции нужно быть внимательным, потому что число обрабатываемых функцией символов невелико, не больше следующего списка символов (.\+?[^](*)$) . Функция addslashes – другая полезная функция, которая часто используется в запросах SQL:

$clean = addslashes($data)

Функция addslashes добавляет символ обратной косой черты (\) перед всеми символами одинарных кавычек (), двойных кавычек ("), обратной косой черты (\) и NULL-символами. Это серьезная защита от действий злоумышленника, пытающегося использовать SQL-запрос пользователя в своих целях. В SQL-запросах некоторых систем управления базами данных (например, Sybase или Oracle) для пропуска одинарных кавычек () используются их дублирование («), а не символ обратной косой черты (\»). Для этого используется функция ereg_replace в следующем виде:

ereg_replace(“‘”, “‘’”, $data)

Защита запросов SQL

Пользователь может успешно противостоять атакам злоумышленника даже при всем богатстве арсенала средств использования злоумышленником SQL-запросов пользователя в своих преступных целях. На самом деле при правильном использовании SQL-запросов у злоумышленника почти нет шансов получить доступ к приложению пользователя.

Повсеместно используемый современный метод защиты от атак злоумышленника на SQL-запросы называется заключением в кавычки (quoting)и по существу основан на правильном заключении в кавычки передаваемых данных и контроле над отсутствием лишних кавычек. Многие средства программного интерфейса с базами данных (например, модули DBI языка Perl) предлагают использовать различные функции заключения строк в кавычки. Тем не менее, чтобы не было недопонимания по этому вопросу, рассмотрим процедуру quotedataна языке Perl.

sub quotedata {

my $incoming=shift;

$incoming=~s/[““]/’’/g;

return “‘$incoming’”; }

В процедуре для обработки входных данных используется функция подстановки языка Perl, которая в случае обнаружения одинарных или двойных кавычек подставляет вместо них две одинарные кавычки. Такой вариант обработки данных является допустимым способом размещения кавычек внутри данных запроса SQL. Другой вариант заключается в удалении всех кавычек, правда, при этом поток данных будет модифицирован. Обработанные данные заключаются в одинарные кавычки и возвращаются приложению, вызвавшему процедуру. В приложении функция quotedata должна быть использована следующим образом:

# … incoming user data is placed in $data

$quoted_data = quotedata($data);

$sql_query = “SELECT * FROM table WHERE column = $quoted_data”;

# … execute your SQL query

Таким образом, значение переменной $data будет правильно заключено в кавычки, а запрос – обработан системой управления базами данных без ошибки. Но только правильное заключение данных в кавычки не означает полную защиту от возможных проблем. Некоторые системы управления базами данных могут интерпретировать отдельные обнаруженные внутри данных символы как команды. Например, ядро базы данных Microsoft Jet до версии 4.0 распознавало среди данных внутренние команды VBA вне зависимости от того, правильно они были взяты в кавычки или нет.

Удалять неверные данные или сообщить об ошибке?

При обработке входных данных пользователя у разработчика есть два варианта. Первый – при обнаружении неверных входных данных удалить их, не сообщая об этом пользователю, и, оставив правильные данные без изменения, продолжить обработку оставшихся данных. И второй – сразу же прекратить обработку данных при обнаружении в них ошибки и сообщить о найденной ошибке. Каждый подход имеет свои «за» и «против».

Читать дальше