Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Laravel SQL injection olur mu?

Leon

Herkese Merhaba,

Laravel ile SQL sorgularını yazarken bir sql injection'a maruz kalır veya kalabilir miyiz? Gelişi güzel yazdığımızı varsayarsak örnek veriyorum, Urunler::where('id' $request->id)->get(); bu bizi üzer mi? Yada birisi kalkıpta demesin incinmişsin diye.

mgsmus

Leon Urunler::whereRaw("id = {$request->id}")->get(); yaparsanız üzer.

coder2

https://laravel.com/docs/8.x/queries#introduction

The Laravel query builder uses PDO parameter binding to protect your application against SQL injection attacks. There is no need to clean or sanitize strings passed to the query builder as query bindings.

Laravel PDO parameter binding (https://www.php.net/manual/tr/pdostatement.bindparam.php) kullandığı için girilen parametreleri temizleme veya ekstra bir işlem yapmamıza gerek yoktur. Örnek olarak verdiğiniz sorgu aşağıdaki bir sql oluşturur.

select * from `urunler` where `id` = ?

mgsmus

Leon Rule içerisinde ignore kullamındaki SQL injection tehlikesi dokümanda belirtilen bir tehlike. Dokümanda yazdığı halde bu şekilde kullanırsanız üzer. Kendiniz bunun için özel kural oluşturabilirsiniz ya da değeri unique kuralından önce exists kuralından geçirebilirsiniz.

örnek ile üstteki aynı mantık.

orderBy($request->get('sirala')) SQL injection koruması sağlıyor fakat kullanıcının bu şekilde sütun seçmesi yanlış. Sadece izin verdiğiniz sütunlardan birini seçebilmesi lazım. Bunun için de bir beyaz-liste oluşturmanız ve eğer sütun o listede varsa orderBy ile kullanılabilir olması lazım.

coder2 nin bahsettiği Query Builder, sizin bahsettikleriniz farklı ama sonuçta kurallar var ve uyarsanız sorun yok.

EgoistDeveloper

mgsmus request ile doğrudan id almak mı? Bunu route üzerinden alsak ve hatta Route::method...->where(...) ile parametreyi regex ile validate etsek id konusu uui/guid değilse çok sıkıntı olmaz bence.

Leon

@mgsmus Hocam, teşekkür ederim. Forumda bir sorun var sanırım başlığı silmiştim fakat silinmemiş.
@coder2 Hocam, valla şöyle bir algı var SQL injection yemezsiniz lakin öyle değil imiş 🙂
Aşağıdaki gibi kullanımda. Kullanıcıdan gelen herhangi bir veriye, ignore içerisinde güvenirsek eğer incinebilirmişiz.

Validator::make($request, [
    'email' => [
        'required',
        Rule::unique('users')->ignore($reguest->input('id')),
    ],
]);

veya

$id = $request->route('id');
$kurallar = [
 'kullanici' => 'required|unique:kullanicilar,isim,' . $id,
];
$dogrula = Validator::make($request->post(), $kurallar);

birde aşağıdaki gibi yine kullanıcıdan gelen veriye sütun isminde güvenirsek yine incinebilir mişiz.

Product::where('category_id', $request->get('kategori'))
  ->orderBy($request->get('sirala'))->get();

Leon

Evet, @mgsmus Hocam. Kimse üzülmesin 🙂 KVKK'nın olduğu şu Dünya'da SQL injection edilip bir milyon seküzyüz bin bilmem kaç baloncuk yutmak istemeyiz 🙂

mgsmus

EgoistDeveloper Siz bilirsiniz, ben yazacağımı yazdım 🙂

deathisonitsway

Urunler::where(‘id’ $request->id)->get();

sen bunu boyle kullanırsan.Zaten laravel değil feriştah olsa korumaz seni.
Developer bilecek bu işleri.Herşeyi aaa bu yapar diyemezsiniz.Kaldı ki bu basit bile.Adam dayayıp geciyor kontrolsüz verileri.Olmaz..database cok akıllı bir şey değil.Hatta en basitinden yük gördümü direkt beyaz bayrağı çekecek ilk kişidir..O yüzden siz yapacaksınız bu işi..

Leon

deathisonitsway

Urunler::where("id", $request->id)->get(); Bu şekilde kullandığımızda nasıl SQL injectiona maruz kalabiliriz?