Уникання введення SQL без параметрів

У нас тут ще одна дискусія на роботі щодо використання параметризованих запитів sql у нашому коді. У дискусії у нас є дві сторони: я та деякі інші, які кажуть, що ми завжди повинні використовувати параметри для захисту від sql ін'єкцій та інших хлопців, які не вважають це за потрібне. Натомість вони хочуть замінити одиничні апострофи двома апострофами у всіх рядках, щоб уникнути sql ін'єкцій. Наші бази даних працюють на Sql Server 2005 або 2008, а наша база коду працює на .NET Framework 2.0.

Дозвольте навести простий приклад на C #:

Я хочу, щоб ми використовували це:

string sql = "SELECT * FROM Users WHERE Name=@name";
SqlCommand getUser = new SqlCommand(sql, connection);
getUser.Parameters.AddWithValue("@name", userName);
//... blabla - do something here, this is safe

Хоча інші хлопці хочуть це зробити:

string sql = "SELECT * FROM Users WHERE Name=" + SafeDBString(name);
SqlCommand getUser = new SqlCommand(sql, connection);
//... blabla - are we safe now?

Де функція SafeDBString визначена наступним чином:

string SafeDBString(string inputValue) 
{
    return "'" + inputValue.Replace("'", "''") + "'";
}

Тепер, поки ми використовуємо SafeDBString для всіх значень рядків у наших запитах, ми повинні бути в безпеці. Правильно?

Для використання функції SafeDBString є дві причини. По-перше, це так, як це робилося з віків каменю, а по-друге, простіше налагоджувати оператори sql, оскільки ви бачите запит розкопок, який виконується в базі даних.

Так то. Моє запитання - чи дійсно достатньо використовувати функцію SafeDBString, щоб уникнути атак нападів на sql. Я намагався знайти приклади коду, який порушує цей захід безпеки, але не можу знайти жодного прикладу цього.

Хтось там може зламати це? Як би ти це зробив?

EDIT: Для підведення підсумків відповідей поки що:

• Ще ніхто не знайшов способу обійти SafeDBString на Sql Server 2005 або 2008. Це добре, я думаю?
• У кількох відповідях зазначено, що ви отримуєте підвищення продуктивності, використовуючи параметризовані запити. Причина полягає в тому, що плани запитів можна використовувати повторно.
• Ми також погоджуємось, що за допомогою параметризованих запитів надається більш читабельний код, який легше підтримувати
• Крім того, простіше завжди використовувати параметри, ніж використовувати різні версії SafeDBString, перетворення рядка в число та рядки на дату.
• Використовуючи параметри, ви отримуєте автоматичне перетворення типів, що особливо корисно, коли ми працюємо з датами чи десятковими числами.
• І нарешті: не намагайтеся захистити себе так, як писав JulianR. Постачальники баз даних витрачають багато часу та грошей на безпеку. Немає способів зробити це краще, і немає причин намагатися виконувати їхню роботу.

Тому, хоча ніхто не зміг зламати просту безпеку функції SafeDBString, у мене з’явилося багато інших хороших аргументів. Дякую!

Я думаю, що правильна відповідь:

Не намагайтеся робити безпеку самостійно . Використовуйте будь-яку надійну, галузеву стандартну бібліотеку, доступну для того, що ви намагаєтеся зробити, а не намагатися зробити це самостійно. Які б припущення щодо безпеки ви не мали, вони можуть бути помилковими. Настільки безпечним, як може виглядати ваш власний підхід (а він у кращому випадку виглядає хитким), є ризик, що ви щось не помічаєте, і чи дійсно хочете ризикнути, коли справа стосується безпеки?

Використовуйте параметри.

І тоді хтось іде і використовує "замість". Параметри - ІМО - єдиний безпечний шлях.

Це також дозволяє уникнути безлічі проблем, пов'язаних з датами / номерами i18n; яка дата 01.02.03? Скільки коштує 123 456? Чи згодні ваші сервери (додаток-сервер і db-сервер)?

Якщо фактор ризику для них не переконливий, як щодо ефективності? RDBMS може повторно використовувати план запитів, якщо ви використовуєте параметри, що сприяють продуктивності. Це не може зробити лише за допомогою рядка.

Аргумент - безрезультатний. Якщо вам все-таки вдасться знайти вразливість, ваші співробітники просто змінять функцію SafeDBString для її обліку, а потім попросять підтвердити, що це знову небезпечно.

Зважаючи на те, що параметризовані запити - це безперечна найкраща практика програмування, тягар доказування повинен бути на них, щоб вони пояснили, чому вони не використовують метод, який є і безпечнішим, і ефективнішим.

Якщо проблема переписує весь застарілий код, простим компромісом було б використовувати параметризовані запити у всьому новому коді та рефакторний старий код, щоб використовувати їх під час роботи над цим кодом.

Я гадаю, що справжнє питання - це гордість і впертість, і ви не можете з цим зробити багато іншого.

Перш за все, ваш зразок для версії "Замінити" неправильний. Потрібно поставити апострофи навколо тексту:

string sql = "SELECT * FROM Users WHERE Name='" + SafeDBString(name) & "'";
SqlCommand getUser = new SqlCommand(sql, connection);

Тож це ще одна параметрія, яка робиться для вас: вам не потрібно турбуватися про те, чи потрібно значення включати в лапки. Звичайно, ви можете вбудувати це у функцію, але тоді вам потрібно додати багато складності функції: як знати різницю між "NULL" як null та "NULL" як просто рядок, або між числом і рядок, який просто так містить багато цифр. Це просто ще одне джерело для помилок.

Інша справа: ефективність: параметризовані плани запитів часто кешуються краще, ніж об'єднані плани, таким чином, можливо, збереження сервера кроком під час запуску запиту.

Крім того, уникнути одинарних цитат недостатньо. Багато продуктів DB дозволяють альтернативні методи втечі символів, якими може скористатися зловмисник. Наприклад, у MySQL ви можете уникнути однієї цитати за допомогою зворотної косої риски. Отже, наступне значення "ім'я" підірве MySQL лише SafeDBString()функцією, тому що при подвоєнні одинарної цитати перша з них все ще залишається зворотною косою рисою, залишаючи другу "активною":

x \ 'АБО 1 = 1; -

Також JulianR пропонує гарний момент нижче: НІКОЛИ не намагайтеся самостійно працювати над охороною. Так легко помилитися з програмуванням безпеки невловимими способами, які, здається, працюють, навіть при ретельному тестуванні. Потім проходить час, і через рік ви дізнаєтесь, що ваша система зламалася півроку тому, і ви ніколи навіть цього не знали.

Завжди якомога більше покладайтеся на бібліотеки безпеки, надані для вашої платформи. Вони будуть написані людьми, які роблять код безпеки на життя, набагато краще перевірений, ніж те, чим ви можете керувати, та обслуговує постачальник, якщо виявиться вразливість.

Тому я б сказав:

1) Чому ви намагаєтесь знову реалізувати щось, що вбудовано? він там доступний, простий у користуванні та вже налагоджений у глобальному масштабі. Якщо в ньому знайдуться майбутні помилки, вони будуть виправлені та доступні для всіх дуже швидко, без цього вам нічого робити.

2) Які процеси існують, щоб гарантувати, що ви ніколи не пропустите виклик SafeDBString? Відсутність його лише в одному місці може відкрити цілу низку питань. Скільки ви збираєтеся заглянути на ці речі, і подумайте, скільки витрачено даремно зусиль, коли прийняту правильну відповідь так легко дістати.

3) Наскільки ви впевнені, що ви прикривали кожен вектор атаки, про який Microsoft (автор БД та бібліотеку доступу) знає у вашій реалізації SafeDBString ...

4) Наскільки легко читати структуру sql? У прикладі використовується + конкатенація, параметри дуже схожі на string.Format, який є більш читабельним.

Крім того, є два способи опрацювати те, що було насправді запущено - прокрутити власну функцію LogCommand, просту функцію, яка не стосується безпеки , або навіть подивитися на sql слід, щоб розібратися з тим, що думає, що база даних насправді відбувається.

Наша функція LogCommand проста:

    string LogCommand(SqlCommand cmd)
    {
        StringBuilder sb = new StringBuilder();
        sb.AppendLine(cmd.CommandText);
        foreach (SqlParameter param in cmd.Parameters)
        {
            sb.Append(param.ToString());
            sb.Append(" = \"");
            sb.Append(param.Value.ToString());
            sb.AppendLine("\"");
        }
        return sb.ToString();
    }

Правильно чи неправильно, він дає нам необхідну інформацію без проблем безпеки.

Завдяки параметризованим запитам ви отримуєте більше, ніж захист від введення sql. Ви також отримаєте кращий потенціал кешування плану виконання. Якщо ви використовуєте профайлер запитів на сервер sql, ви все ще можете побачити "точний sql, який запускається в базі даних", тож ви насправді нічого не втрачаєте з точки зору налагодження ваших заяв sql.

Я використовував обидва підходи, щоб уникнути атак ін'єкцій SQL і, безумовно, віддаю перевагу параметризованим запитам. Коли я використовую об'єднані запити, я використовував функцію бібліотеки, щоб уникнути змінних (наприклад, mysql_real_escape_string) і не був би впевнений, що я охопив все у власній реалізації (як здається, ви теж є).

Ви не можете легко здійснити будь-яку перевірку типу вводу користувача без використання параметрів.

Якщо ви використовуєте класи SQLCommand і SQLParameter для здійснення дзвінків у БД, ви все ще можете бачити SQL-запит, який виконується. Подивіться на властивість SQLCommand's CommandText.

Я завжди підозрюваний у власному підході до запобігання ін'єкції SQL, коли параметризовані запити настільки прості у використанні. По-друге, тільки те, що "це робилося завжди так" не означає, що це правильний спосіб зробити це.

Це безпечно лише в тому випадку, якщо ви гарантовано передаєте рядок.

Що робити, якщо в якийсь момент ви не проходите рядок? Що робити, якщо ви пройдете лише номер?

http://www.mywebsite.com/profile/?id=7;DROP DATABASE DB

Зрештою, став би:

SELECT * FROM DB WHERE Id = 7;DROP DATABASE DB

Я б використовував збережені процедури або функції для всього, тому питання не виникало б.

Там, де мені потрібно вводити SQL в код, я використовую параметри, це єдине, що має сенс. Нагадуйте іншим особам, що хакери розумніші, ніж вони, і з більшим стимулом порушувати код, який намагається їх перехитрити. Використовуючи параметри, це просто неможливо, і це не так, як важко.

Дуже погоджуйтеся з питань безпеки.
Ще одна причина використання параметрів - це ефективність.

Бази даних завжди будуть збирати ваш запит і кешувати його, а потім повторно використовувати кешований запит (що, очевидно, швидше для наступних запитів). Якщо ви використовуєте параметри, то навіть якщо ви використовуєте різні параметри, база даних повторно використовуватиме ваш кешований запит, оскільки він відповідає на основі рядка SQL перед прив'язкою параметрів.

Якщо ви не прив'язуєте параметри, то рядок SQL змінюється в кожному запиті (який має різні параметри), і він ніколи не буде відповідати тому, що є у вашому кеші.

З наведених причин параметри є дуже хорошою ідеєю. Але ми ненавидимо їх використовувати, оскільки створення парамуму та присвоєння його імені змінній для подальшого використання в запиті - це потрійна аварія голови.

Наступний клас обгортає програму stringbuilder, яку ви зазвичай використовуєте для створення запитів SQL. Це дозволяє писати параматеризовані запити без необхідності створювати параметр , щоб ви могли сконцентруватися на SQL. Ваш код буде виглядати приблизно так ...

var bldr = new SqlBuilder( myCommand );
bldr.Append("SELECT * FROM CUSTOMERS WHERE ID = ").Value(myId, SqlDbType.Int);
//or
bldr.Append("SELECT * FROM CUSTOMERS WHERE NAME LIKE ").FuzzyValue(myName, SqlDbType.NVarChar);
myCommand.CommandText = bldr.ToString();

Читання коду, я сподіваюся, ви погоджуєтесь, значно покращується, і вихід є належним параметризованим запитом.

Клас виглядає приблизно так ...

using System;
using System.Collections.Generic;
using System.Text;
using System.Data;
using System.Data.SqlClient;

namespace myNamespace
{
    /// <summary>
    /// Pour le confort et le bonheur, cette classe remplace StringBuilder pour la construction
    /// des requêtes SQL, avec l'avantage qu'elle gère la création des paramètres via la méthode
    /// Value().
    /// </summary>
    public class SqlBuilder
    {
        private StringBuilder _rq;
        private SqlCommand _cmd;
        private int _seq;
        public SqlBuilder(SqlCommand cmd)
        {
            _rq = new StringBuilder();
            _cmd = cmd;
            _seq = 0;
        }
        //Les autres surcharges de StringBuilder peuvent être implémenté ici de la même façon, au besoin.
        public SqlBuilder Append(String str)
        {
            _rq.Append(str);
            return this;
        }
        /// <summary>
        /// Ajoute une valeur runtime à la requête, via un paramètre.
        /// </summary>
        /// <param name="value">La valeur à renseigner dans la requête</param>
        /// <param name="type">Le DBType à utiliser pour la création du paramètre. Se référer au type de la colonne cible.</param>
        public SqlBuilder Value(Object value, SqlDbType type)
        {
            //get param name
            string paramName = "@SqlBuilderParam" + _seq++;
            //append condition to query
            _rq.Append(paramName);
            _cmd.Parameters.Add(paramName, type).Value = value;
            return this;
        }
        public SqlBuilder FuzzyValue(Object value, SqlDbType type)
        {
            //get param name
            string paramName = "@SqlBuilderParam" + _seq++;
            //append condition to query
            _rq.Append("'%' + " + paramName + " + '%'");
            _cmd.Parameters.Add(paramName, type).Value = value;
            return this; 
        }

        public override string ToString()
        {
            return _rq.ToString();
        }
    }
}

З дуже короткого часу, коли мені довелося досліджувати проблеми з ін'єкцією SQL, я можу бачити, що зробити значення "безпечним" також означає, що ви закриваєте двері у ситуаціях, коли ви можете насправді захотіти апостроф у своїх даних - а що з чиїмсь іменем , наприклад, O'Reilly.

Це залишає параметри та збережені процедури.

І так, ви завжди повинні намагатися реалізовувати код найкращим чином, який ви знаєте зараз - не тільки як це робилося завжди.

Ось кілька статей, які можуть вам стати корисними для переконання своїх колег.

http://www.sommarskog.se/dynamic_sql.html

http://unixwiz.net/techtips/sql-injection.html

Особисто я вважаю за краще ніколи не дозволяти жодному динамічному коду торкатися моєї бази даних, вимагаючи, щоб весь контакт був через sps (а не той, який використовує динамічний SQl). Це означає, що нічого, крім того, що я дав дозвіл користувачам, не можна зробити, і що внутрішні користувачі (за винятком тих, хто має доступ до виробництва для цілей адміністратора) не можуть безпосередньо отримати доступ до моїх таблиць і створювати хаос, красти дані або вчиняти шахрайство. Якщо у вас є фінансова заявка, це найбезпечніший шлях.

Він може бути зламаний, однак кошти залежать від точних версій / патчів тощо.

Один, який вже виховувався, - це помилка переповнення / усічення, яку можна використовувати.

Іншим майбутнім засобом буде пошук помилок, подібних до інших баз даних - наприклад, стек MySQL / PHP зазнав проблему, оскільки певні послідовності UTF8 можуть використовуватися для маніпулювання функцією заміни - функція заміни буде вводити введення введення символів ін'єкції.

Зрештою, механізм захисту заміни покладається на очікуване, але не призначене функціонал. Оскільки функціональність не була цільовим призначенням коду, існує велика ймовірність того, що якась виявлена ​​химерність порушить вашу очікувану функціональність.

Якщо у вас є багато застарілого коду, метод заміни може бути використаний як зупинка, щоб уникнути тривалого переписування та тестування. Якщо ви пишете новий код, виправдання немає.

Завжди використовуйте параметризовані запити, де це можливо. Іноді навіть просте введення даних без використання будь-яких дивних символів вже може створити SQL-ін'єкцію, якщо її не визначено як вхід для поля в базі даних.

Тому просто нехай база даних робить свою роботу з визначення самого введення, не кажучи вже про це, також економить багато клопоту, коли вам потрібно фактично вставити дивні символи, які в іншому випадку не вдалося б уникнути або змінити. Це навіть може зберегти якийсь цінний час виконання в кінці кінців за те, що не потрібно обчислювати вхідні дані.

Я не бачив, щоб інші відповідачі зверталися до цієї сторони "чому це робити самостійно - це погано", але врахуйте атаку скорочення SQL .

Існує також QUOTENAMEфункція T-SQL, яка може бути корисною, якщо ви не можете переконати їх у використанні парам. Це наздоганяє багато (все?) Проблем, які врятувались qoute.

2 роки пізніше я повторно відновив ... Кожен, хто знаходить параметри болі, може спробувати моє розширення VS, QueryFirst . Ви редагуєте свій запит у реальному .sql-файлі (Validation, Intellisense). Щоб додати параметр, просто введіть його безпосередньо у свій SQL, починаючи з "@". Коли ви зберігаєте файл, QueryFirst буде генерувати класи обгортки, щоб ви могли запустити запит і отримати доступ до результатів. Він буде шукати тип БД вашого параметра і відображатиме його до типу .net, який ви знайдете як вхід до створеного методу Execute ().Не може бути простішим. Зробити це правильним способом радикально швидше і простіше, ніж зробити це будь-яким іншим способом, а створити вразливість sql для ін'єкцій стає неможливим або, принаймні, збочно важким. Є й інші переваги вбивці, такі як можливість видалення стовпців у БД та негайно побачити помилки компіляції у вашій програмі.

юридична відмова: Я написав QueryFirst

Ось кілька причин використовувати параметризовані запити:

1. Безпека - Шар доступу до бази даних знає, як видалити або видалити елементи, заборонені в даних.
2. Розділення проблем - Мій код не несе відповідальності за перетворення даних у формат, який подобається БД.
3. Ніяких надмірностей - мені не потрібно включати збірку чи клас у кожен проект, який виконує форматування / видалення цієї бази даних; він вбудований у бібліотеку класів.

Уразливості (не можу пригадати, для якої бази даних це було) було мало, що пов'язано з переповненням буфера оператора SQL.

Я хочу сказати, що SQL-Injection - це більше, ніж просто "уникнути цитати", і ви не маєте уявлення, що буде далі.

Ще одне важливе питання - це відстеження втечених та нерозроблених даних. Існує багато і багато додатків, Web та інше, які, здається, не належним чином відслідковують, коли дані є необробленими - Unicode, & -кодировані, відформатовані HTML та ін. Очевидно, що буде важко відслідковувати, які рядки - ''кодовані, а які - ні.

Це також проблема, коли ви в кінцевому підсумку змінюєте тип якоїсь змінної - можливо, вона раніше була цілим числом, але тепер це рядок. Тепер у вас є проблема.