Исправить SQL-инъекции в database.js и userService.js

NW commented

2026-06-17 19:39:14 +00:00

Owner

Проблема

Динамическая подстановка имён таблиц и колонок без санитизации:

database.js:59 — PRAGMA table_info(${tableName})
userService.js:47-54 — Object.keys(userData) вставляется в SQL
adminDumpHandler.js:64 — SELECT * FROM ${table}

Решение

Создать whitelist допустимых имён таблиц в database.js
Валидировать tableName против whitelist перед подстановкой
Переписать userService.updateUser() с явным перечислением колонок
Валидировать имена таблиц в adminDumpHandler
Добавить тесты для SQL-инъекций

Файлы

src/config/database.js
src/services/userService.js
src/handlers/adminHandlers/adminDumpHandler.js

Приоритет: КРИТИЧЕСКИЙ

## Проблема Динамическая подстановка имён таблиц и колонок без санитизации: - `database.js:59` — `PRAGMA table_info(${tableName})` - `userService.js:47-54` — `Object.keys(userData)` вставляется в SQL - `adminDumpHandler.js:64` — `SELECT * FROM ${table}` ## Решение - [ ] Создать whitelist допустимых имён таблиц в database.js - [ ] Валидировать tableName против whitelist перед подстановкой - [ ] Переписать userService.updateUser() с явным перечислением колонок - [ ] Валидировать имена таблиц в adminDumpHandler - [ ] Добавить тесты для SQL-инъекций ## Файлы - `src/config/database.js` - `src/services/userService.js` - `src/handlers/adminHandlers/adminDumpHandler.js` ## Приоритет: КРИТИЧЕСКИЙ

NW added this to the Phase 1: Security & Secrets Management milestone 2026-06-17 19:39:14 +00:00

NW added the priority::critical type::security phase::1 labels 2026-06-17 19:39:14 +00:00

NW closed this issue

2026-06-17 20:29:51 +00:00

NW referenced this issue from a commit

2026-06-17 20:53:17 +00:00

feat(security): Phase 1 — critical security fixes and hardening

NW commented

2026-06-17 21:04:32 +00:00

Author

Owner

✅ Реализовано

Создать whitelist допустимых имён таблиц в database.js
Валидировать tableName против whitelist перед подстановкой
Переписать userService.createUser() с whitelist колонок
Валидировать имена таблиц в adminDumpHandler
Добавить тесты для SQL-инъекций

Файлы: src/config/database.js, src/services/userService.js, src/handlers/adminHandlers/adminDumpHandler.js, src/__tests__/security.test.js

## ✅ Реализовано - [x] Создать whitelist допустимых имён таблиц в database.js - [x] Валидировать tableName против whitelist перед подстановкой - [x] Переписать userService.createUser() с whitelist колонок - [x] Валидировать имена таблиц в adminDumpHandler - [x] Добавить тесты для SQL-инъекций **Файлы**: `src/config/database.js`, `src/services/userService.js`, `src/handlers/adminHandlers/adminDumpHandler.js`, `src/__tests__/security.test.js`

Исправить SQL-инъекции в database.js и userService.js #43

Проблема

Решение

Файлы

Приоритет: КРИТИЧЕСКИЙ

✅ Реализовано