Xin kính chào mọi người, mình đang làm bài luận về sql injection, sau khi tham khảo một số tài liệu, đọc đến đoạn tác giả minh hoạ một Procedure trong mysql dạng như sau:

Code:

delimiter /
create procedure sp_test (input varchar(30))
begin
set @param = input;
set @sql = concat('select count(*) from tbl_name where col_name like ''',@param,'%''');
prepare stmt from @sql;
execute stmt;
deallocate prepare stmt;
end
/

thông thường theo các khuyến cáo, xét về mặt viết code thì việc sử dụng prepared query có thể coi là tuơng đối an toàn. Mặc dù trong đoạn mã trên có thực hiện prepare truy vấn, nhưng đối số vẫn được nối trực tiếp vào truy vấn trước khi truy vấn được thực hiện prepare. Do đó rõ ràng (theo cách hiểu của mình) truy vấn đó không đạt được mục tiêu viết 1 lần, chạy nhiều lần (không cần tối ưu lại) của mô hình tham số hoá truy vấn.

Tác giả nói, đoạn code trên vẫn dễ bị tấn công. Mình đã thử nhiều cách để có minh hoạ chứng minh, nhưng vẫn chưa tìm được tham số nào có thể exploit cái lỗi mà tác giả nói.

Mong mọi người xem giùm và cho mình ý kiến với, xin chân thành cảm ơn. Thời gian gấp quá rồi

ps: khi gọi call sp_test với lời gọi: call sp_test('a' or 1=1--') thì chắc chắn không exploit thành công nhé.