Это может сработать, но мне это кажется немного странным. Я бы рекомендовал проверять правильность каждой строки, проверяя ее на соответствие регулярному выражению.

Хотя вы можете найти решение, которое работает для строк, для числовых предикатов вам также необходимо убедиться, что они передаются только в числах (простая проверка: можно ли его проанализировать как int / double / decimal?).

Это много лишней работы.

В любом случае это плохая идея, как вы, кажется, знаете.

А как насчет экранирования кавычек в такой строке: \ '

Ваша замена приведет к: \ ''

Если обратная косая черта выходит за пределы первой кавычки, значит, вторая кавычка заканчивает строку.

Каким уродливым кодом была бы вся эта дезинфекция пользовательского ввода! Затем неуклюжий StringBuilder для оператора SQL. Подготовленный метод оператора приводит к гораздо более чистому коду, а преимущества SQL Injection - действительно хорошее дополнение.

И зачем изобретать велосипед?

Вместо того, чтобы заменять одинарную кавычку (как выглядит) двумя одинарными кавычками, почему бы просто не заменить ее на апостроф, цитату или полностью не удалить?

В любом случае, это немного путаница ... особенно когда у вас есть законные вещи (например, имена), в которых могут использоваться одинарные кавычки ...

ПРИМЕЧАНИЕ. Ваш метод также предполагает, что все, кто работает с вашим приложением, всегда помнят о необходимости дезинфицировать ввод до того, как он попадет в базу данных, что, вероятно, в большинстве случаев нереально.

Если у вас есть параметризованные запросы, вы должны использовать их всегда. Достаточно одного запроса, чтобы проскользнуть через сеть, и ваша БД окажется под угрозой.

Входная санитария - это не то, что вам нужно наполовину. Используй всю свою задницу. Используйте регулярные выражения в текстовых полях. Попробуйте преобразовать числа в правильный числовой тип и сообщить об ошибке проверки, если это не сработает. Очень легко искать шаблоны атак во входных данных, таких как '-. Предположим, что весь ввод от пользователя враждебен.

В двух словах: никогда не выполняйте экранирование запросов. Вы обязательно ошибетесь. Вместо этого используйте параметризованные запросы или, если по какой-то причине вы не можете этого сделать, используйте существующую библиотеку, которая сделает это за вас. Нет причин делать это самому.

Я использовал эту технику при работе с функцией «расширенного поиска», когда создание запроса с нуля было единственным жизнеспособным ответом. (Пример: разрешить пользователю искать продукты на основе неограниченного набора ограничений на атрибуты продуктов, отображая столбцы и их разрешенные значения в качестве элементов управления графическим интерфейсом, чтобы снизить порог обучения для пользователей.)

Само по себе это безопасно AFAIK. Однако, как указал другой ответчик, вам также может потребоваться иметь дело с экранированием обратного пространства (хотя, по крайней мере, не при передаче запроса на SQL Server с использованием ADO или ADO.NET - не может ручаться за все базы данных или технологии).

Загвоздка в том, что вы действительно должны быть уверены, какие строки содержат вводимые пользователем данные (всегда потенциально вредоносные) и какие строки являются допустимыми SQL-запросами. Одна из ловушек заключается в том, что если вы используете значения из базы данных - были ли эти значения изначально предоставлены пользователем? Если это так, их также необходимо избежать. Мой ответ - попытаться провести дезинфекцию как можно позже (но не позже!) При построении SQL-запроса.

Однако в большинстве случаев привязка параметров - это лучший способ - это просто проще.

Во-первых, это просто плохая практика. Проверка ввода необходима всегда, но она также всегда сомнительна. Что еще хуже, проверка черного списка всегда проблематична, гораздо лучше явно и строго определить, какие значения / форматы вы принимаете. По общему признанию, это не всегда возможно, но до некоторой степени это необходимо делать всегда. Некоторые исследовательские работы по теме:

• http://www.imperva.com/docs/WP_SQL_Injection_Protection_LK.pdf
• http://www.it-docs.net/ddata/4954.pdf (Раскрытие, последний был моим;))
• https://www.owasp.org/images/d/d4/OWASP_IL_2007_SQL_Smuggling.pdf (на основе предыдущей статьи, которая больше не доступна)

Дело в том, что любой черный список (и слишком разрешительные белые списки) можно обойти. Последняя ссылка на мою статью показывает ситуации, когда можно обойти даже экранирование кавычек.

Даже если эти ситуации к вам не относятся, это все равно плохая идея. Более того, если ваше приложение не является тривиально маленьким, вам придется иметь дело с обслуживанием и, возможно, с определенной степенью управления: как вы обеспечить, чтобы оно выполнялось правильно, везде и в любое время?

Как это сделать:

• Проверка белого списка: тип, длина, формат или допустимые значения
• Если вы хотите внести в черный список, продолжайте. Экранирование кавычек - это хорошо, но в контексте других средств защиты.
• Используйте объекты Command и Parameter для предварительной обработки и проверки
• Вызов только параметризованных запросов.
• А еще лучше использовать исключительно хранимые процедуры.
• Избегайте использования динамического SQL и не используйте конкатенацию строк для построения запросов.
• При использовании SP вы также можете ограничить разрешения в базе данных только на выполнение необходимых SP, а не напрямую обращаться к таблицам.
• вы также можете легко проверить, что вся кодовая база обращается к БД только через SP ...

Простой ответ: иногда это срабатывает, но не всегда. Вы хотите использовать проверку белого списка для все, но я понимаю, что это не всегда возможно, поэтому вы вынуждены использовать черный список с наилучшими предположениями. Точно так же вы хотите использовать параметризованные хранимые процедуры в все, но, опять же, это не всегда возможно, поэтому вы вынуждены использовать sp_execute с параметрами.

Есть способы обойти любой полезный черный список, который вы можете придумать (и некоторые белые списки тоже).

Приличная рецензия здесь: http://www.owasp.org/index.php/Top_10_2007-A2

Если вам нужно сделать это как быстрое исправление, чтобы дать вам время установить настоящий, сделайте это. Но не думайте, что вы в безопасности.

Это можно сделать двумя способами, без исключений, чтобы обезопасить себя от SQL-инъекций; подготовленные операторы или параметризованные хранимые процедуры.

Да, это должно работать до тех пор, пока кто-нибудь не запустит ВЫКЛЮЧИТЬ QUOTED_IDENTIFIER и не использует двойные кавычки для вас.

Обновлено: это не так просто, как запретить злоумышленнику отключать цитируемые идентификаторы:

The SQL Server Native Client ODBC driver and SQL Server Native Client OLE DB Provider for SQL Server automatically set QUOTED_IDENTIFIER to ON when connecting. This can be configured in ODBC data sources, in ODBC connection attributes, or OLE DB connection properties. The default for SET QUOTED_IDENTIFIER is OFF for connections from DB-Library applications.

When a stored procedure is created, the SET QUOTED_IDENTIFIER and SET ANSI_NULLS settings are captured and used for subsequent invocations of that stored procedure.

SET QUOTED_IDENTIFIER also corresponds to the QUOTED_IDENTIFER setting of ALTER DATABASE.

SET QUOTED_IDENTIFIER is set at parse time. Setting at parse time means that if the SET statement is present in the batch or stored procedure, it takes effect, regardless of whether code execution actually reaches that point; and the SET statement takes effect before any statements are executed.

Существует множество способов отключения QUOTED_IDENTIFIER без вашего ведома. По общему признанию - это не та самая уязвимость, которую вы ищете, но это довольно большая поверхность для атаки. Конечно, если вы также избежали двойных кавычек - тогда мы вернулись к тому, с чего начали. ;)

Ваша защита не сработает, если:

• запрос ожидает число, а не строку
• существовали любые другие способы представления одинарной кавычки, в том числе:
  • escape-последовательность, например \ 039
  • символ юникода

(в последнем случае это должно быть что-то, что было расширено только после того, как вы сделали свою замену)

Патрик, вы добавляете одинарные кавычки вокруг ВСЕХ входных данных, даже числовых? Если у вас есть числовой ввод, но вы не заключаете его в одинарные кавычки, то у вас есть доступ.

Хорошо, этот ответ будет относиться к обновлению вопроса:

"If anyone knows of any specific way to mount a SQL injection attack against this sanitization method I would love to see it."

Теперь, помимо экранирования обратной косой черты MySQL - и с учетом того, что мы на самом деле говорим о MSSQL, на самом деле существует 3 возможных способа SQL-инъекции вашего кода.

sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"

Учтите, что не все они будут действительны всегда и очень зависят от вашего фактического кода вокруг него:

1. SQL-инъекция второго порядка - если SQL-запрос перестраивается на основе данных, полученных из базы данных после побега, данные объединяются без экранирования и могут быть косвенно введены SQL-инъекцией. Видеть
2. Усечение строки - (немного сложнее) - сценарий: у вас есть два поля, скажем, имя пользователя и пароль, и SQL объединяет их оба. И оба поля (или только первое) имеют жесткое ограничение по длине. Например, имя пользователя ограничено 20 символами. Скажем, у вас есть этот код:

username = left(Replace(sInput, "'", "''"), 20)

Затем вы получаете имя пользователя, экранированное, а затем обрезанное до 20 символов. Проблема здесь - я вставлю свою цитату в 20-й символ (например, после 19 а), и ваша экранирующая цитата будет обрезана (в 21-м символе). Тогда SQL

sSQL = "select * from USERS where username = '" + username + "'  and password = '" + password + "'"

в сочетании с вышеупомянутым искаженным именем пользователя приведет к тому, что пароль уже будет вне кавычки, и будет просто содержать полезную нагрузку напрямую. 3. Контрабанда Unicode - В определенных ситуациях можно передать высокоуровневый символ Unicode, который выглядит похож на кавычку, но не - до тех пор, пока он не попадет в базу данных, где вдруг это. Поскольку это не цитата, когда вы ее проверяете, все пройдет легко ... Подробнее см. В моем предыдущем ответе и ссылку на исходное исследование.

Я понимаю, что это прошло много времени после того, как вопрос был задан, но ...

Один из способов начать атаку на процедуру «цитировать аргумент» - это усечение строки. Согласно MSDN, в SQL Server 2000 SP4 (и SQL Server 2005 SP1) слишком длинная строка будет незаметно усечена.

Когда вы заключаете строку в кавычки, она увеличивается в размере. Каждый апостроф повторяется. Затем это можно использовать для выталкивания частей SQL за пределы буфера. Таким образом, вы можете эффективно обрезать части предложения where.

Это, вероятно, было бы в основном полезно в сценарии страницы «администратор пользователя», где вы могли бы злоупотребить оператором «update», чтобы не выполнять все проверки, которые он должен был делать.

Поэтому, если вы решите заключить в кавычки все аргументы, убедитесь, что вы знаете, что происходит с размерами строк, и проследите, чтобы не произошло усечения.

Я бы порекомендовал пойти с параметрами. Всегда. Просто хочу, чтобы я мог обеспечить это в базе данных. И, как побочный эффект, вы с большей вероятностью получите лучшее попадание в кеш, потому что большинство операторов выглядят одинаково. (Это действительно было верно в Oracle 8)

Да, можно, если ...

После изучения темы я считаю, что обработка вводимых данных, как вы предложили, безопасна, но только при соблюдении следующих правил:

1. вы никогда не позволяете строковым значениям, поступающим от пользователей, становиться ничем иным, кроме строковых литералов (т. е. избегайте указания параметра конфигурации: «Введите сюда дополнительные имена / выражения столбцов SQL:»). Типы значений, отличные от строк (числа, даты, ...): преобразуйте их в их собственные типы данных и предоставьте процедуру для литерала SQL из каждого типа данных.

   • SQL-операторы проблематичны для проверки

2. вы либо используете столбцы nvarchar / nchar (и строковые литералы префикса с N), либо предельные значения, входящие в столбцы varchar / char, только для символов ASCII (например, исключение исключения при создании оператора SQL)

   • таким образом вы избежите автоматического преобразования апострофа из CHAR (700) в CHAR (39) (и, возможно, других подобных хаков Unicode)

3. вы всегда проверяете длину значения, чтобы она соответствовала фактической длине столбца (исключение, если оно больше)

   • в SQL Server обнаружен известный дефект, позволяющий обойти ошибку SQL, возникающую при усечении (приводящую к усечению без вывода сообщений)

4. вы гарантируете, что SET QUOTED_IDENTIFIER всегда будет ON

   • будьте осторожны, это вступает в силу во время синтаксического анализа, то есть даже в недоступных участках кода.

Соблюдая эти 4 пункта, вы должны быть в безопасности. Если вы нарушите какой-либо из них, откроется путь для SQL-инъекции.