Fix db query injections #68

TheKing-OfTime · 2023-02-06T15:25:34Z

No description provided.

ruskotwo · 2023-02-06T15:28:27Z

commands/voice/index.js

@@ -100,7 +100,7 @@ class Voice extends BaseCommand {
 	async slash (int) {
 		if (int.options.getSubcommand() === 'auto-sync') {
 			await int.deferReply({ ephemeral: true });
-			DB.query(`UPDATE users SET mode = "${int.options.getString('mode')}" WHERE id = ${int.user.id};`)[0];
+			DB.query(`UPDATE users SET mode = ? WHERE id = ?;`, [int.options.getString('mode'), int.user.id])[0];


Гравис лучше заменять на обычные одинарные кавычки.
И зачем мы в конце имеем [0]?

ruskotwo · 2023-02-06T15:38:16Z

commands/warn/Warn.js

-			? `SELECT * FROM warns WHERE id = (SELECT MAX(id) FROM warns WHERE target = ${target})`
+			? `SELECT * FROM warns WHERE id = (SELECT MAX(id) FROM warns WHERE target = ?)`
 			: `SELECT * FROM warns WHERE id = (SELECT MAX(id) FROM warns)`;
-		const data = DB.query(query);
+		const data = DB.query(query, target ? [target] : undefined);


Это выглядит крайне сомнительно. По сути ты делаешь 2 проверки.
Лучше заменить сразу на что то такое:

const data = target ? DB.query('SELECT * FROM warns WHERE id = (SELECT MAX(id) FROM warns WHERE target = ?)', target) : DB.query('SELECT * FROM warns WHERE id = (SELECT MAX(id) FROM warns)');

И сам запрос выглядит как лютый ужас. По сути, твоя задача - получить последнюю добавленную строку.
В итоге ты делаешь запрос, который содержит второй запрос, который функцией MAX находит максимальное значение и возвращает тебе.

Хотя для твоей цели подойдёт такой запрос:

SELECT * FROM warns WHERE target = ? ORDER BY id DESC LIMIT 1; SELECT * FROM warns ORDER BY id DESC LIMIT 1;

Тут ты сортируешь от максимального айдишника и лимитом забираешь лишь одну строку. Этот запрос будет в тысячи раз менее ресурсоёмким.

ruskotwo · 2023-02-06T15:44:23Z

commands/warn/Warn.js

-			? `SELECT * FROM warns WHERE NOT flags & 4 AND target = ${target}`
+			? `SELECT * FROM warns WHERE NOT flags & 4 AND target = ?`
 			: `SELECT * FROM warns WHERE NOT flags & 4`;
-		const data = DB.query(query);
+		const data = DB.query(query, target ? [target] : undefined);


Та же история с двумя проверками и лишней константой query, которая более не будет использоваться

ruskotwo

Грависы поменять на одиночные кавычки, исправить описанные места

TheKing-OfTime added 2 commits February 6, 2023 18:22

Fixing existing DB query injections

f125074

Disable debug mode

4644c43

TheKing-OfTime requested a review from ruskotwo February 6, 2023 15:25

ruskotwo reviewed Feb 6, 2023

View reviewed changes

ruskotwo requested changes Feb 6, 2023

View reviewed changes

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Fix db query injections #68

Fix db query injections #68

TheKing-OfTime commented Feb 6, 2023

ruskotwo Feb 6, 2023

ruskotwo Feb 6, 2023 •

edited

Loading

ruskotwo Feb 6, 2023

ruskotwo left a comment

Fix db query injections #68

Are you sure you want to change the base?

Fix db query injections #68

Conversation

TheKing-OfTime commented Feb 6, 2023

ruskotwo Feb 6, 2023

Choose a reason for hiding this comment

ruskotwo Feb 6, 2023 • edited Loading

Choose a reason for hiding this comment

ruskotwo Feb 6, 2023

Choose a reason for hiding this comment

ruskotwo left a comment

Choose a reason for hiding this comment

ruskotwo Feb 6, 2023 •

edited

Loading