sql-инъекции в AR

Albert · October 3, 2009, 3:00pm

Есть код:


	public function rules()

	{

		return array(

			...

			array('album_id', 'numerical', 'integerOnly'=>true),

			array('album_id', 'exist'),

			...

		);

	}

Тут очевидно, что получаем возможность sql-инъекции через валидатор exist несмотря на …‘numerical’, ‘integerOnly’=>true…

Есть ли какой-нибудь простой способ этого избежать или самому всегда в контроллере писать mysql_real_escape_string() для каждого атрибута?

KJedi · October 3, 2009, 8:41pm

хм, а каким образом там идет SQL-иъекция?

дело все в том, что в Yii об этом уже позаботились

и все запросы готовятся через PDO, а его использование исключает возможность простой инъекции. Да, есть какие-то варианы через китайские символы хакнуть, но это экзотика

Albert · October 5, 2009, 6:00am

Да, все верно, теперь понял. Ошибка закралась в самописный валидатор.[color="#808080"] Там ковычки в запрос попадали через критерий[/color]

Малость затупил.

Другой вопрос, допустим есть таблица с альбомами фотографий

id

gall_id - галерея

albumname - имя альбома

мне надо исключить возможность одинаковых имен альбомов в одной галерее

первое что приходит на ум:


			array('albumname', 'unique',

				'criteria'=>array(

					'condition'=>'gall_id = :gall_id',

					'params'=>array(':gall_id'=>$this->gall_id)

				),

Но это не работает, хотя указан дополнительный критерий запроса. В результате вообще никакой валидации не происходит, можно добавлять записи с одинаковым albumname и gall_id

unloved · October 5, 2009, 9:47am

напиши свою функцию валидации, в которой просто каунтом по базе с нужными параметрами gall_id и albumname выбери все с текущими значениями. если больше нуля, то вызов ошибки.

Albert · October 5, 2009, 10:02am

да, уже сделал так, некуда деваться. Но все ж интересно как использовать criteria для unique.

[quote name="CUniqueValidator"]criteria property (available since v1.0.8 )

public array $criteria;

additional query criteria. This will be combined with the condition that checks if the attribute value exists in the corresponding table column. This array will be used to instantiate a CDbCriteria object.
[/quote]

Это тоже самое по сути должно быть

Albert · October 5, 2009, 11:02am

Проблема найдена. Список валидаторов из rules модель получает при ее создании, а не при вызове validate().

                    array('albumname', 'unique',


                            'criteria'=&gt;array(


                                    'condition'=&gt;'gall_id = :gall_id',


                                    'params'=&gt;array(':gall_id'=&gt;[color=&quot;#FF0000&quot;]&#036;this-&gt;gall_id[/color])


                            ),

В этот момент все атрибуты пусты