SQL enjeksiyonuna karşı koruma neden yüksek öncelikli değil?

Yığın Taşması konusunda, on yıldan fazla bir süredir yaygın olarak bulunabilecek temel geçici çözümlere rağmen, SQL enjeksiyon saldırılarına karşı oldukça savunmasız olan MySQL sorguları olan soru ve cevaplarda birçok PHP kodu görüyorum.

Bu tür kod parçacıklarının halen kullanımda olmasının bir nedeni var mı?

Sanırım çoğunlukla a) cehalet b) tembellikten kaynaklanıyor. Yeni başlayanlar genellikle sql enjeksiyonu hakkında çok fazla şey bilmezler ve duydukları zaman bile, bunu görmezden gelirler, çünkü bu şekilde kodlanması çok daha basit ve kolaydır.

PHP, kasten, gerçekten çok kullanışlı insanlar için dinamik web sayfaları oluşturmak için çok az şey bilenler için yapar. Bu, PHP'nin faydalı bir şeyler yaratan, diğer yararlı görünen örneklerden öğrenen ve diğerlerine bu güzel ve faydalı şeyi nasıl yapacaklarını öğretmek için birçok yeni başlayanın dikkatini çekeceği anlamına gelir. Sonuç, birçok kötü kod ve daha iyisini bilmeyen bir programcı kaynağıdır.

Yetkili programcıların büyük bir kısmının PHP ile hiçbir şey yapmak istememesi, işleri daha da kötüleştirir. Bu, başkalarına daha iyi öğretmek isteyen deneyimli insanların temelini azaltır. Ama neden PHP'den kaçıyorlar? Faktörlerin bir kombinasyonu için iyi. Kısmen dil siğilleriyle uğraşmayı sevmiyorlar. Ve kısmen bunun nedeni iyi kodla çalışmayı tercih etmeleridir ve orada pek iyi PHP yoktur.

Bu, Perl'e zarar vermek için kullanılan problemlerin tam takımyıldızıdır. Parlayan bir örnek olarak, 1990'larda geri CGI senaryoları yerleştirmek için pek çok yararlı, iyi belgelenmiş ve kolay kurulum sağlayan hevesli bir genç olan Matt Wright'ın durumunu düşünün. Maalesef güvenlikle ilgili hiçbir şey anlamadı ve eşyalarını kullanmak isteyenler de yoktu. Sonuçta, erken CGI betikleri için sınırsız bir güvenlik problemi akışı olan Matt Wright Script Arşivleri vardı. Http://www.scriptarchive.com/nms.html gibi çabalara rağmen , paylaşılan barındırma sağlayıcıları PHP'yi her şeyden daha kullanışlı hale getirene kadar sorun Perl için düzelmedi. Bu Perl'den PHP'ye geçerken soruna yol açar.

Ne yazık ki, orada fazladan fazla PHP öğreticisi yok ve bazı eski PHP kitapları da insanlara uygun kod yazmalarını söyleyerek emiliyor (register_globals vb. Kullanılmıyor).

Ek olarak, magic_quotes_gpcgeçmişte etkin hale geldiklerinde, insanlar “sadece işe yaradı” diye kaçmayı umursamadılar.

Şahsen, PHP'nin kullanımı kolay olduğuna inanıyorum, bu yüzden doğal olarak kötüye kullanımı da kolay.

Bir insan ve bir programcı olarak, hata yapmak ve özellikle zaman için basıldığında bazı şeyleri gözden kaçırmak oldukça kolay.

Belirli bir dili suçlamak, kendi iyiliği için fazla erişilebilir olmak kolay ve belki de çok cazip. Fakat bu, programlamak için seçilen dilden bağımsız olarak, daha büyük insan yanılabilirliği sorununu aydınlatacaktı.

Kabul, montaj dilinden bu yana çok yol kat ettik ve sanırım PHP, Python, Ruby veya Java gibi daha modern bir dilde çok daha üretken programlama yapacağımı düşünüyorum.

PHP (ve diğer betik dilleri) aslında giriş engelini azaltmıştır. Bu, programlamaya yeni başlayanların önce PHP'yi denediği anlamına gelebilir. Ancak bu kesinlikle tüm PHP programcılarının bir şekilde daha az nitelikli oldukları veya hatalarından başka dillerin programcılarından daha az öğrenebilecekleri anlamına gelmez.

Rasmus Lerdorf, 1994'te PHP'yi orijinal haliyle yarattı, o zamandan beri önemli ölçüde gelişti. En modern enkarnasyonunda, nesne yönelimli programlamanın yanı sıra Symfony gibi mükemmel çerçeveleri de destekler. Dil olarak PHP, orijinal kısıtlamalarından kurtuldu ve programcıların onu kullanmayı nasıl seçebileceği konusunda büyük esneklik sunacak şekilde büyüdü. 9.000 satırlık bir spagetti kodu yazması için kullanabilirsiniz veya Symfony gibi modern bir MVC çerçevesi bağlamında kullanabilirsiniz: Bu sizin seçiminiz!

Güvenlik açıklarının tek bir dille sınırlı olmadığından şüpheleniyorum. Tüm PHP programcılarını bir şekilde daha az yetenekli ya da güvensiz kod yazmaya meyilli olarak yazmak caziptir. Fakat bunun dil önyargısının ne kadar olduğunu ve bunun gerçekte ne kadar olduğunu merak ediyorum?

Bence problemin bir kısmı, ne yaptıklarını öğrenmeye zahmet etmeden basitçe kod kopyalayan insanlar, ama gerçekten aklımda porgamnming öğretme şeklimiz bozuldu ve bu çok kötü kodun olmasının sebeplerinden biri. Bağlam dışı sözdizimini öğretiyoruz ve yeni başlayanlar bir şeyi ne zaman kullanacaklarını, ne zaman kullanmayacaklarını veya ne tür problemleri çözmeyeceklerini ve ne problemleri çözmeyi amaçlamadıklarını bilmiyor. Bu yüzden bir anahtar daha iyi bir araç olduğunda bir çekiç kullanırlar.

Örneğin, sadece sözdizimi öğretmek yerine, kursu şu şekilde düzenlersiniz (Açıkça daha fazla adım olacaktır, bu sadece sözdizimi öğretmek yerine temelden karmaşık sorunlara kadar temel bir yapı örneğidir):

1. Temel bir web sayfası bu şekilde kurulur
2. Bu, web sayfasını bir veritabanından veri çekme şeklinizdir
3. Bir web sayfasından veri tabanına veri göndermenin yoludur.
4. Bu, doğru verilerin gönderildiğinden emin olmanızı sağlar.
5. Veritabanınızı zararlı veri girişinden bu şekilde korursunuz

Benzer derecede MS SQL + ASP / ASP.NET örnekleri kadar savunmasız olduğunu düşünüyorum.

Sorunun kısmen bir şeyleri öğretmeye çalıştığınızda, bir WHERE yan tümcesi kullanarak verileri filtreleme derken, o zaman gerçekten sorgu dizginizden kaçan veya parametrik bir komut kullanarak örneğinizi karıştırmak istemediğinizden kaynaklandığını hissediyorum.

Uzun yıllardır geliştiricilerin eğitimi aldım ve öğreticilerde korkunç kod yazan insanlarla empati kurabiliyorum. Bazen en kolay anlaşılan budur. Ancak, bir kenara her zaman savunmasız olan bir kodu işaret ediyorum ve onu ilginç bir konu haline getirdim.

PHP'nin orijinal yazarı Rasmus Lerdorf , rezil blog girişinde "çerçevesiz" gelişmeyi savunuyor . SQL sorguları için PDO kullanmasına rağmen, SQL enjeksiyon riski yoktur. Yine de ORM katmanlarıyla modern MVC çerçevelerine kıyasla oldukça çirkin ve modası geçmiş.

Bu zayıf uygulamayı PHP'nin kendisinde suçlayabilirsiniz. PHP'nin eski sürümleri (yaklaşık 2006 yılına kadar), tüm GET ve POST giriş değişkenlerinden kaçar, böylece DEFAULT BY veritabanı sorgu enterpolasyonu için uygun olurlardı. Http://php.net/manual/tr/security.magicquotes.php adresine bakın.

Bir üretim ortamında yapılması gerekenlerle basitçe bir şey göstermek için yapılan bir öğreticinin amacını karıştırmayın. Örneğin, yazdığım çoğu öğretici kodun hata / istisna kontrolü çok az veya hiç yok. Okuyucuya, kodun tüm olası sonuçları nasıl kapsayacağını değil, sadece belirli bir görevi nasıl yerine getirdiğini gösterdiğini hatırlatmaya çalışıyorum.

PHP öğrenirken bazı PHP + MySQL kitaplarına baktım ve evet, bu kötü uygulamaya katkıda bulunduğunu hissediyorum. Ancak , iyi programlama uygulamaları değil , dili öğrettikleri için sempati duyuyorum . Aksi takdirde nerede bitecek?