инъекции SQL, если скобки и точка с запятой фильтруются

Question

У меня есть такое заявление:

SELECT * FROM TABLE WHERE COLUMN = 123456 

123456 предоставляется пользователем поэтому она уязвима для SQLI, но если я раздеться все точкой с запятой и скобки, является возможным хакеру выполнять любые другие заявления (например, DROP,UPDATE,INSERT и т. д.), кроме SELECT?

Я уже использую подготовленные операторы, но мне любопытно, что если вход лишен терминатора строк и скобок, может ли хакер изменить БД каким-либо образом?

Answer 1

Используйте параметры sql. Попытка «дезинфицировать» вход - крайне Плохая идея. Попробуйте выполнить некоторые сложные фрагменты кода sql для инъекций, вы не поверите, как работают хакеры с черными шляпами.

Answer 2

В общем, очень сложно быть на 100% уверенным, что вы в безопасности от этого типа нападений, пытаясь лишить определенных персонажей - есть слишком много способов обойти ваш код (используя кодировки символов и т. Д.),

Лучшим вариантом является передача параметров хранимой процедуры, например:

CREATE PROCEDURE usp_MyStoredProcedure 
    @MyParam int 
AS 

BEGIN 
    SELECT * FROM TABLE WHERE COLUMN = @MyParam 

END 
GO 

Таким образом, SQL будет относиться значение, переданное в качестве параметра, и ничего больше, независимо от того, что она содержит. И в этом случае он будет принимать значение типа int в любом случае.

Если вы не хотите или не можете использовать хранимую процедуру, то я предлагаю изменить код, чтобы входной параметр мог содержать только предопределенный список символов - в этом случае числовые символы , Таким образом, вы можете быть уверены, что ценность безопасна в использовании.