9

文字列を SQL クエリに安全に含めるために使用するのに適した関数は何ですか? たとえば、アポストロフィを修正する必要があり、他にも問題が発生する可能性があることは間違いありません。私は、堅実で、悪者が考案できる可能性のある入力が与えられた場合に機能する関数が欲しい.

さて、大衆がクエリパラメーターを使用したり、この質問に反対票を投じたり閉じたりするように私に言う前に、次の点を考慮してください。

  • API の設計が不十分なサードパーティ製のライブラリを使用して行き詰まっています。API は次のように呼び出されることになっています。

    dataObjectVariable.FindWhere("WHERE RecordID = '(your string here)'");

    (1) 実装の詳細である内部データベース フィールド名をユーザーに公開し、(2) 最初にこの問題を回避するパラメータを使用する機会を提供しないため、これは良い API ではないことに 100% 同意します。 (3) 実際、SQL 自体は実装の詳細であり、公開すべきではなかったと言えます。しかし、業界をリードするシステムの 1 つと統合する必要があるため、この API の使用に行き詰まっています。また、API の変更を依頼する立場にもありません。

  • この問題に関連する他の質問についてこのサイトを検索しましたが、回答はパラメーター化されたクエリを強く示唆する傾向があることがわかりました。文字列をサニタイズする関数を作成することを提案しようとした回答は、しばしば反対票を投じられたり、よく考えられていなかったりしました.-信頼できるかどうかわかりません。

私は文字列のみを検索しており、数値や日付などの他のデータ型は検索していません。ここでも、パラメーター化されたクエリを使用する利点を 100% 認識しており、それらを使用できればいいのにと思いますが、私の手ではできません。これに結ばれています。

4

3 に答える 3

4

アプリケーションの 1 つで同様の API を使用する必要があります。SQL インジェクションを手動で回避するために使用する検証ルーチンは次のとおりです。



internal class SqlInjectionValidator
{

    internal static readonly List _s_keywords = new List
    {
        "alter",
        "begin",
        "commit",
        "create",
        "delete",
        "drop",
        "exec",
        "execute",
        "grant",
        "insert",
        "kill",
        "load",
        "revoke",
        "rollback",
        "shutdown",
        "truncate",
        "update",
        "use",
        "sysobjects"
    };

    private string _sql;
    private int _pos;
    private readonly Stack _literalQuotes = new Stack();
    private readonly Stack _identifierQuotes = new Stack();
    private int _statementCount;

    // Returns true if s does not contain SQL keywords.
    public SqlValidationStatus Validate(string s)
    {
        if (String.IsNullOrEmpty(s))
        {
            return SqlValidationStatus.Ok;
        }

        _pos = 0;
        _sql = s.ToLower();
        _literalQuotes.Clear();
        _identifierQuotes.Clear();
        _statementCount = 0;

        List chars = new List();

        SqlValidationStatus svs;
        while (_pos = _sql.Length)
            {
                break;
            }

            if (_statementCount != 0)
            {
                return SqlValidationStatus.SqlBatchNotAllowed;
            }

            char c = _sql[_pos];
            if (IsEmbeddedQuote(c))
            {
                _pos++;
                chars.Add(_sql[_pos]);
                _pos++;
                continue;
            }

            if (c != '\'' &&
                    IsQuotedString())
            {
                chars.Add(c);
                _pos++;
                continue;
            }

            if (c != ']' &&
                    c != '[' &&
                    c != '"' &&
                    IsQuotedIdentifier())
            {
                chars.Add(c);
                _pos++;
                continue;
            }

            switch (c)
            {
                case '[':
                    if (_identifierQuotes.Count != 0)
                    {
                        return SqlValidationStatus.MismatchedIdentifierQuote;
                    }
                    svs = DisallowWord(chars);
                    if (svs != SqlValidationStatus.Ok)
                    {
                        return svs;
                    }
                    _identifierQuotes.Push(c);
                    break;

                case ']':
                    if (_identifierQuotes.Count != 1 ||
                            _identifierQuotes.Peek() != '[')
                    {
                        return SqlValidationStatus.MismatchedIdentifierQuote;
                    }
                    svs = DisallowWord(chars);
                    if (svs != SqlValidationStatus.Ok)
                    {
                        return svs;
                    }
                    _identifierQuotes.Pop();
                    break;

                case '"':
                    if (_identifierQuotes.Count == 0)
                    {
                        svs = DisallowWord(chars);
                        if (svs != SqlValidationStatus.Ok)
                        {
                            return svs;
                        }
                        _identifierQuotes.Push(c);
                    }
                    else if (_identifierQuotes.Count == 1)
                    {
                        svs = DisallowWord(chars);
                        if (svs != SqlValidationStatus.Ok)
                        {
                            return svs;
                        }
                        _identifierQuotes.Pop();
                    }
                    else
                    {
                        return SqlValidationStatus.MismatchedIdentifierQuote;
                    }
                    break;

                case '\'':
                    if (_literalQuotes.Count == 0)
                    {
                        svs = DisallowWord(chars);
                        if (svs != SqlValidationStatus.Ok)
                        {
                            return svs;
                        }
                        _literalQuotes.Push(c);
                    }
                    else if (_literalQuotes.Count == 1 &&
                            _literalQuotes.Peek() == c)
                    {
                        _literalQuotes.Pop();
                        chars.Clear();
                    }
                    else
                    {
                        return SqlValidationStatus.MismatchedLiteralQuote;
                    }
                    break;

                default:
                    if (Char.IsLetterOrDigit(c) ||
                            c == '-')
                    {
                        chars.Add(c);
                    }
                    else if (Char.IsWhiteSpace(c) ||
                            Char.IsControl(c) ||
                            Char.IsPunctuation(c))
                    {
                        svs = DisallowWord(chars);
                        if (svs != SqlValidationStatus.Ok)
                        {
                            return svs;
                        }
                        if (c == ';')
                        {
                            _statementCount++;
                        }
                    }
                    break;
            }

            _pos++;
        }

        if (_literalQuotes.Count != 0)
        {
            return SqlValidationStatus.MismatchedLiteralQuote;
        }

        if (_identifierQuotes.Count != 0)
        {
            return SqlValidationStatus.MismatchedIdentifierQuote;
        }

        if (chars.Count > 0)
        {
            svs = DisallowWord(chars);
            if (svs != SqlValidationStatus.Ok)
            {
                return svs;
            }
        }

        return SqlValidationStatus.Ok;
    }

    // Returns true if the string representation of the sequence of characters in
    // chars is a SQL keyword.
    private SqlValidationStatus DisallowWord(List chars)
    {
        if (chars.Count == 0)
        {
            return SqlValidationStatus.Ok;
        }

        string s = new String(chars.ToArray()).Trim();
        chars.Clear();

        return DisallowWord(s);
    }

    private SqlValidationStatus DisallowWord(string word)
    {
        if (word.Contains("--"))
        {
            return SqlValidationStatus.CommentNotAllowed;
        }
        if (_s_keywords.Contains(word))
        {
            return SqlValidationStatus.KeywordNotAllowed;
        }
        if (_statementCount > 0)
        {
            return SqlValidationStatus.SqlBatchNotAllowed;
        }
        if (word.Equals("go"))
        {
            _statementCount++;
        }

        return SqlValidationStatus.Ok;
    }

    private bool IsEmbeddedQuote(char curChar)
    {
        if (curChar != '\'' ||
                !IsQuotedString() ||
                IsQuotedIdentifier())
        {
            return false;
        }

        if (_literalQuotes.Peek() == curChar &&
                Peek() == curChar)
        {
            return true;
        }

        return false;
    }

    private bool IsQuotedString()
    {
        return _literalQuotes.Count > 0;
    }

    private bool IsQuotedIdentifier()
    {
        return _identifierQuotes.Count > 0;
    }

    private char Peek()
    {
        if (_pos + 1 < _sql.Length)
        {
            return _sql[_pos + 1];
        }

        return '\0';
    }

}
于 2012-11-01T03:48:25.307 に答える
0

私はもう少し掘り下げて、うまくいくように見えるこの「ブルートフォース」ソリューションを見つけました。 PHPを使用してSQL Serverで文字列をエスケープするには?

基本的に、文字列ではなく 16 進数として文字列を送信するだけです。たとえば、送信する代わりに:

WHERE RecordID = 'DEMO'

これを送ってください:

WHERE RecordID = 0x44454D4F

文字列が空の場合、特別なケースとして送信します''

これはかなり安全に思えます。有効な攻撃が思い浮かびません。

一般に、このソリューションは ANSI 以外の文字では機能しない可能性があるため、注意してください。ただし、比較対象の列は「nvarchar」ではなく「varchar」であることがわかりました。そのため、データベースを設計したとき、明らかに Unicode は議題にありませんでした。「nvarchar」の場合、UTF-16 文字列 (または nvarchar で使用される Unicode エンコーディング) を送信する必要があると思います。

于 2012-11-01T20:51:50.457 に答える
0

(良い記録のために) プレーンテキストのみを期待していると仮定し、通常の文字 (つまり、キーボード文字) のみを受け取ると仮定できる場合は、入力を取得して ASCII に変換し、それを次のように制限できます。必要な文字 (許容される文字のリストを提供し、そこからフィルタリングすることによって) を指定し、文字列の長さが適切であることを確認します。

次に、許容できる文字のみを使用して新しい文字列を作成し、その文字列を渡します。そこに到達すると、単一引用符だけが問題になります。

これらの要件を満たすことができれば、これはうまくいくはずです。ファンキーな Unicode 文字を挿入したり、SQL バッファーをオーバーフローさせたり、問題を引き起こすために人々が行うその他のクレイジーなことを行う方法はありません。クエリに入る文字を 100% コントロールできます。

于 2012-11-01T21:17:26.323 に答える