(Ne)bezpečí databázových aplikací v PHP

K napsání tohoto článku mě vedlo shlédnutí jednoho příšerného kusu kódu, který jeden člověk na jednom nejmenovaném serveru prezentoval jako ukázku řešení jistého problému. Nic proti autorovi, zřejmě to myslel dobře a třeba si i byl vědom bezpečnostní díry, která by nasazením kódu v reálném projektu vznikla. Nicméně se mi zdá nepatřičné začínajícím programátorům v PHP namlouvat, že „takhle se to skutečně dělá“. O co vlastně šlo?

Příklad ukazoval, jak s pomocí databáze řešit vícejazyčnost webovské aplikace. Řekněme v SŘBD MySQL se vytvořila tabulka s nějakým číselným ID zprávy a textovými sloupci langcz pro českou, langen pro anglickou a třeba langde pro německou verzi hlášení:

Vtip řešení vícejazyčných textů v aplikaci spočíval ve vytvoření speciální funkce, řekněme msg(), která se starala o vypisování hlášení z databáze v patřičném jazyku. Jako první parametr se jí předávalo ID hlášení a jako druhý zvolený jazyk. Kód aplikace (řekněme nějaký soubor index.php) pak vypadal zhruba takto:

<?
// funkce pro výpis vícejazyčných hlášení
function msg($id, $lang) {
  $result = mysql_query("SELECT lang$lang
                           FROM msg
                           WHERE id=$id");
  if ($result) {
    $row = mysql_fetch_array($result);
    mysql_free_result($result);
    echo $row[0];
  }
}

// připojení do databáze
mysql_connect("localhost", "michal", "heslo");
mysql_select_db("pokus");

// zjištění request proměnné "lang"
$lang = $_REQUEST['lang'];
if (!$lang)
  $lang = 'cz';

// použití vícejazyčné hlášky
msg(1, $lang);

// atd...
?>


Zkusíte-li si uvedený příklad doma a v prohlížeči se podíváte na výsledek skriptu index.php, mělo by se vám objevit hlášení:

Dobrý den!

Použijete-li jako URL řekněme řetězec index.php?lang=en, zobrazí se naprosto správně english message:

Hello!

Achillova pata uvedeného kódu je samozřejmě v proměnné lang. Kdo vám zaručí, že se skript index.php bude volat výhradně s hodnotami „cz“, „en“ nebo „de“ request proměnné lang? Nečiní nejmenší problém do proměnné lang dostat jakýkoliv řetězec, který se naprosto nedotčen propašuje až do SQL dotazu.

Představme si modelovou situaci, totiž že kromě tabulky msg jsou v databázi pokus také jiná data. Třeba tabulka s loginy a hesly uživatelů naší webovské aplikace:

(Jako správní zvědavci hesla neukládáme v kódovaném tvaru.) Teď už je malér na spadnutí. Stačí se trochu zamyslet a jako správný škaredý hoch/dívka formulovat následující URL pro náš děravý skript:

Aplikace nám poslušně odpoví:

rumcajs

Vida, login prvního uživatele. Zadáme-li pro změnu něco takového:

skriptík promptně dodá i heslo:

manka

Co přesně se stalo? V případě druhého URL se do proměnné lang uložil řetězec .password FROM user lang WHERE id=1 /*. Ve funkci msg() se tedy provedl následující SQL dotaz (pro lepší přehlednost jsem jej pouze rozdělil na více řádků):

Praví se v něm, že chceme vrátit hodnotu atributu password relace lang z tabulky user, kterou si vtipně nazveme lang, abychom nějak „vybruslili“ se zapeklitou předponou z původního SQL dotazu. Žádáme pouze záznam s id rovným jedné. Dvojice znaků „/*“ na konci řetězce v proměnné lang zajistí, že zbytek původní části SQL dotazu bude chápán jako komentář.

A je vymalováno. Průměrnému programátorovi už nebude dělat problém napsat si skriptík, který bude v cyklu generovat URL, v nich zkoušet všechna čísla id a z výsledků „vykusovat“ loginy a hesla uživatelů.

Lék je přitom tak jednoduchý. Bohatě stačí v kódu trochu změnit podmínku konstrukce if:

Jaké z toho plyne poučení? Když se v manuálu PHP píše: „nevěřte datům přicházejícím od uživatele“, nezbývá než poslechnout a důsledně kontrolovat, přetypovávat a zajišťovat uživatelské vstupy. V tomto případě jsme získali loginy a hesla všech uživatelů. Znásilněním jiných typů SQL dotazů (UPDATE, INSERT, DELETE) můžeme docílit dalších škod. (O uživatelských vstupech a funkci eval() raději ani nemluvím… ;-)