Я создал небольшую веб-страницу опроса в нашей компании Intranet. Эта веб-страница недоступна извне.
Форма представляет собой просто пару переключателей и поле для комментариев.
Я хотел бы поддерживать хорошие методы кодирования и хотел бы защитить от SQL Injections.
Могут ли SQL-инъекции выполняться в инструкции insert с комментариями из текстового поля? Если да, то как я могу защититься от него с помощью .NET 2.0?
Инъекция может произойти в любой инструкции SQL, которая не работает должным образом.
Например, допустим, что ваша таблица комментариев имеет два поля, целочисленный идентификатор и строку комментария. Итак, вы бы INSERT следующим образом:
INSERT INTO COMMENTS VALUES(122,'I like this website');
Подумайте, кто-то вводит следующий комментарий:
'); DELETE FROM users; --
Если вы просто поместите строку комментария в SQL без каких-либо процессов, это может превратить ваш единственный INSERT в следующие два оператора, за которыми следует комментарий:
INSERT INTO COMMENTS VALUES(123,''); DELETE FROM users; -- ');
Это приведет к удалению всего из вашей таблицы users. И есть люди, которые готовы потратить весь день на поиск правильного имени табуляции для пустых проб и ошибок и различных трюков. Здесь описано, как можно выполнить атаку SQL Injection.
Для предотвращения этого необходимо использовать параметризованные операторы SQL.
И это касается не только соображений безопасности. Например, если вы создаете свои инструкции SQL наивно следующим комментарием:
I'm just loving this website
приведет к синтаксической ошибке SQL из-за того, что апостроф интерпретируется SQL как закрывающая цитата.
Используйте параметризованные запросы, чтобы текст автоматически указывался для вас.
SqlCommand command = connection.CreateCommand();
command.CommandText = "insert into dbo.Table (val1,val2,txt) values (@val1,@val2,@txt)";
command.AddParameterWithValue( "val1", value1 );
command.AddParameterWithValue( "val2", value2 );
command.AddParameterWithValue( "txt", text );
...
SQL-инъекция может произойти при каждом обращении запроса к базе данных. Здесь простая демонстрация:
Ключ в .NET должен делать, как дал Дейв Вебб. Это предотвратит попытку инъекции, охватывая всю строку в качестве одного параметра, который будет отправлен, обрабатывая все символы, которые могут быть интерпретированы SQL Server для изменения запроса или добавления дополнительных команд.
И следует отметить, что SQL-инъекция может возникать в любом приложении, а не только в веб-приложениях. И что внутренняя атака обычно является самой дорогостоящей для организации. Нельзя смело предположить, что атака не будет происходить изнутри.
Да, это возможно. Скажем, клиент отправляет это сообщение:
OR 1 = 1
Это может быть очень болезненно для вашего
SELECT * FROM admin WHERE name = @name AND password = @password
Вы можете предотвратить это с помощью
Да, они могут случиться. Самый простой способ защитить это - использовать подготовленные инструкции, а не строить SQL вручную.
Итак, вместо этого:
String sql =
String.Format("INSERT INTO mytable (text_column) VALUES ( '{0}' )",
myTextBox.Text); // Unsafe!
Вы сделали бы что-то вроде этого:
String sql = "INSERT INTO mytable (text_column) VALUES ( ? )"; // Much safer
Затем добавьте текст текстового поля в качестве параметра в свой DbCommand, который приведет к его автоматическому экранированию и замене "?" в SQL.
В дополнение к использованию подготовленных операторов и параметров, а не конкатенации строк в ваш SQL, вы также должны сделать следующее:
Проверять и форматировать ввод данных на стороне сервера. Проверка и ограничения на стороне клиента можно легко обойти с помощью таких инструментов, как WebScarab, или путем подмены вашей формы.
Настройте соответствующие разрешения для учетной записи пользователя базы данных. Веб-приложение должно использовать отдельную учетную запись или роль в вашей базе данных с разрешениями, ограничивающими только таблицы, представления и процедуры, необходимые для запуска вашего приложения. Убедитесь, что пользователь не имеет права выбора в системных таблицах
Скрыть подробные сообщения об ошибках от пользователей и использовать менее распространенные имена для ваших объектов. Меня поражает, как часто вы можете определить тип сервера (oracle, mysql, sqlserver) и найти основную информацию о схеме в сообщении об ошибке, а затем получить информацию из таблиц "пользователь (ы)", "сотрудник (ы)". Если вы не установили свои разрешения, как в (2), и я могу определить тип вашего сервера, вы открыты для таких операторов для SQL Server
SELECT table_name FROM information_schema.table
EXECUTE sp_help foundTableName
Предотвратите SQL-инъекцию с помощью подготовленного оператора. Использование placehoder (?) Полностью исключает уязвимость, вызванную sql Injection. пример Строка sql = Выберите * из user_table, где username = '+ request.getparameter( "username" ) +'; statement.executeQuery(SQL);
приведенное выше утверждение уязвимо для SQL-инъекции.
Чтобы сделать его безопасным для SQL-инъекции. Используйте следующий фрагмент
Строка sql = Выберите * из user_table, где username =?; statement.setString(1, имя пользователя);
Самый простой способ защитить эту форму SQL-инъекции - использовать параметры и хранимые процедуры, а не создавать SQL-запросы для запуска. (В С# или внутри SQL Server).
Однако я не совсем уверен, что вы должны тратить время на это, если, конечно, это ваша корпоративная политика, так как шансы на ее внутреннее существование минимальны в лучшем случае, и если бы это произошло, я бы надеюсь, что вы немедленно узнайте, кто это.