Уязвимости MYSQLi с оператором подготовки и упорядочиванием по

Уязвимости MYSQLi с оператором подготовки и упорядочиванием по ⇐ MySql

1 сообщение • Страница 1 из 1

Anonymous

Уязвимости MYSQLi с оператором подготовки и упорядочиванием по

Цитата

Сообщение Anonymous » 13 фев 2026, 22:10

Я немного изучил строковые операторы для MYSQLi и перешел на подготовленные операторы из-за уязвимостей внедрения. До сих пор все было хорошо. Теперь мне нужно использовать order by и asc/desc но поскольку они не являются значениями, их нельзя привязать к параметрам. Я все это понимаю.
Возможно, я нашел обходной путь (который в любом случае работает для меня), но мне интересно, вызывает ли это какие-либо угрозы безопасности, о которых я не знаю? если нет, то мне интересно, почему это не было предложено раньше (во всяком случае, я изначально не мог найти).
Я сначала готовлю оператор SQL в строке, а затем перехожу к оператору подготовки. Я знаю, что это не одобряется, и это должно быть непосредственно в инструкции подготовки.
Чтобы избежать SQL-инъекции (я надеюсь), я использую переключатель для выбора и передачи предварительно установленной переменной.
Я не использую исходные имена переменных (т. е. $direction_param , $order_col_param) в объединенной строке, поэтому их нельзя использовать гнусно. Я жестко запрограммировал параметры порядка по и направлению.
Любые мысли, почему это хорошая/плохая идея, очень приветствуются.
$direction_param="d";$order_col_param="a";
switch ($direction_param)
{case "a" :$order_direction="asc";break; case "d" :$order_direction="desc";break;default:$order_direction="asc";}

switch ($order_col_param)
{case "a" :$order_by="items.id";break; case "b":$order_by="items.item_price";break;default:$order_by="items.id";}

$pps="select item_code,item_section,item_title,item_info,item_price,item_qty,type_code,section.return_address from items
inner join section on items.item_section=section.id
where (item_qty>0 or item_rep=\"Y\") and item_active=\"Y\" and item_eol=\"N\" and section.type_code=? order by " . $order_by . " " . $order_direction . " limit ? offset ?;";

$stmt_get_item_details=$mysqli->prepare($pps);
$stmt_get_item_details->bind_param("sii",$section,$items_per_page,$offset);
$stmt_get_item_details->execute();
$stmt_get_item_details_results = $stmt_get_item_details->get_result();

Подробнее здесь: https://stackoverflow.com/questions/798 ... d-order-by

1771009834

Anonymous

Я немного изучил строковые операторы для MYSQLi и перешел на подготовленные операторы из-за уязвимостей внедрения. До сих пор все было хорошо. Теперь мне нужно использовать [b]order by[/b] и [b]asc/desc[/b] но поскольку они не являются значениями, их нельзя привязать к параметрам. Я все это понимаю.
Возможно, я нашел обходной путь (который в любом случае работает для меня), но мне интересно, вызывает ли это какие-либо угрозы безопасности, о которых я не знаю? если нет, то мне интересно, почему это не было предложено раньше (во всяком случае, я изначально не мог найти).
Я сначала готовлю оператор SQL в строке, а затем перехожу к оператору подготовки. Я знаю, что это не одобряется, и это должно быть непосредственно в инструкции подготовки.
Чтобы избежать SQL-инъекции (я надеюсь), я использую переключатель для выбора и передачи предварительно установленной переменной.
Я не использую исходные имена переменных (т. е. $direction_param , $order_col_param) в объединенной строке, поэтому их нельзя использовать гнусно. Я жестко запрограммировал параметры порядка по и направлению.
Любые мысли, почему это хорошая/плохая идея, очень приветствуются.
$direction_param="d";$order_col_param="a";
switch ($direction_param)
{case "a" :$order_direction="asc";break; case "d" :$order_direction="desc";break;default:$order_direction="asc";}

switch ($order_col_param)
{case "a" :$order_by="items.id";break; case   "b":$order_by="items.item_price";break;default:$order_by="items.id";}

$pps="select item_code,item_section,item_title,item_info,item_price,item_qty,type_code,section.return_address from items
inner join section on items.item_section=section.id
where (item_qty>0 or item_rep=\"Y\") and item_active=\"Y\" and item_eol=\"N\" and section.type_code=? order by " . $order_by . " " . $order_direction .             " limit ? offset ?;";

$stmt_get_item_details=$mysqli->prepare($pps);
$stmt_get_item_details->bind_param("sii",$section,$items_per_page,$offset);
$stmt_get_item_details->execute();
$stmt_get_item_details_results = $stmt_get_item_details->get_result();
 

Подробнее здесь: [url]https://stackoverflow.com/questions/79888962/mysqli-vulnerabilities-with-prepare-statement-and-order-by[/url]