Цитата(Ripper @ 1.4.2013, 15:24  ) |
| Но ведь если парсится URL, то пробел заменяется на %20, и в запрос идет %20 вместо пробела |
А вы уверены? То есть, нет ли где-то там обратной конвертации ссылки в текст? Чтобы могли работать ссылки на подобии /user/Иван, ведь не во всех случаях можно заменить кириллические символы латинскими.
Не каждый запрос является потенциальной дырой. Чтобы выбрать что-то из БД надо знать ее структуру. И то не факт, что даже при успешном запросе это будет выведено на экран, например, если php выводит данные по названиям полей, то надо как минимум подменить их аналогичными алиасами в злополучном запросе, иначе они просто пройдут мимо вывода.
Кроме того, на СУБД есть неплохая система прав и полномочий. Обычно СУБД-пользователю, которым пользуется сайт, совершенно не нужно иметь прав на вывод списка таблиц, удаление таблиц и подобное, а уж тем более доступа к базам 'mysql' и 'information_schema'. Так что и узнать структуру БД с помощью инъекции может не представляться физически возможным.
Пример явной дыры, это что-то вроде:
| Код |
SELECT * FROM users WHERE login = '$login' AND password = '$password' |
Тем не менее, разумным является создание запросов, в которых невозможно вообще ничего, кроме заранее предусмотренного разработчиком. Например, допустим, значение фильтруется как числовое. А что будет, если ввести туда 999999999999999? В лучшем из плохих случаев будет ошибка php, а в худшем может и ошибка SQL с куском запроса и названиями полей и таблиц.
Кстати, старые добрые предподготовленные запросы спасают сразу от многих проблем. Штука, поверенная временем =)