SQL Injection, простейшее решение

Question

Я не уверен, как кто-то сломает мой SQL, если я просто заменю все входящие одинарные кавычки двойными кавычками. Может ли кто-нибудь просветить меня как для Oracle, так и для SQL Server? Благодарю.

string sql1 = "select * from users where user_id = '" + "O'Reily".Replace("'", "''").Replace("\", "") + "'"; 

==> "* Выберите из пользователей, где user_id = 'O''Reily'

string sql2 = "select * from users where user_id = '" + "O'''Reily".Replace("'", "''").Replace("\", "") + "'"; 

==>" * Выберите из пользователей, где user_id = 'O' '' ''» Reily "

ОБНОВЛЕНИЕ: косая черта '\' является ограниченным символом в приложении и будет удалена до того, как она будет использована в запросе. Двойную тире можно легко добавить в этот список символов ограниченного доступа.

Answer 1

Спараметрировать переменные. Шутки в сторону. У всех современных сред есть возможности для этого, и вам не нужно беспокоиться о escape-последовательностях, например, «которые превратятся в» с вашей схемой (в Oracle), которая становится скрытой цитатой и обычной (завершающей) цитатой.

Есть много других трюков, чтобы вытащить это, что я не перечисляю, поскольку они не помогают.

Снова: параметризуйте свои переменные. Шутки в сторону. Если вы не научитесь использовать параметризацию, то будет стать еще одной взломанной статистикой.

EDIT: Прочитайте ссылки в ответ Павла и здесь нет другой: http://unixwiz.net/techtips/sql-injection.html

Независимо от того, как умный вы думаете, ваша санация строк, вы делаете это неправильно. Специально, если вам приходится обрабатывать несколько задних концов.

Составление запросов из строк - одна из немногих вещей, из которых я собираюсь уволить людей ... риск, который такой программист создает для компании, больше, чем что-либо еще, что они приносят на стол (особенно после того, как мы сделать это очень ясно, мы не будем принимать такой код в первый день и предоставить инфраструктуру сущности, которая делает такие вещи ненужными).

Answer 2

Ваше предлагаемое решение уязвим для включения строки \', которая завершит ваш цитируемый раздел и позволит впрыскивать другие команды.

Вы хотите использовать подготовленные SQL-сообщения везде, где это возможно, что должно быть везде. В основном вы пишете свой sql с конкретными заполнителями для своих данных, а затем передаете эти данные через отдельный, не интерпретируемый канал на сервер sql.

Несколько ссылок:

http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html

http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html

http://mattbango.com/notebook/web-development/prepared-statements-in-php-and-mysqli/

Answer 3

Чтобы предотвратить SQL-инъекцию, вам действительно нужно использовать привязанные позиционные или именованные параметры вместо того, чтобы строить ваш SQL как строку с пользовательским вводом inlined. Как это делается, зависит от того, как ваше приложение обращается к базе данных.Например, вот что это будет выглядеть в Java с использованием JDBC:

Bad:

String updateString = "UPDATE COFFEES SET SALES = 75 " + 
         "WHERE COF_NAME LIKE 'Colombian'"; 
stmt.executeUpdate(updateString); 

Хорошо:

PreparedStatement updateSales = con.prepareStatement(
     "UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? "); 
updateSales.setInt(1, 75); 
updateSales.setString(2, "Colombian"); 
updateSales.executeUpdate(): 

Я позаимствовал пример отсюда: http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html

Answer 4

Есть некоторые трюки с участием злоумышленника, использующего ввод усечения ввода:

http://www.rampant-books.com/t_super_sql_154_ideas_prevent_injection.htm