【问题标题】:How to prevent SQL Injection when executing the script concatenated from parameter strings?执行从参数字符串连接的脚本时如何防止 SQL 注入?
【发布时间】:2016-06-12 04:14:03
【问题描述】:

作为同一个主题,我想在执行以下sql命令时防止SQL注入:

Dim strSQL As String = "ALTER TABLE " & tablename & " ADD " & fieldName & " " & datatype
_db.Execute_NonQuery(strSQL)

我尝试应用参数化http://software-security.sans.org/developer-how-to/fix-sql-injection-microsoft-.net-with-parameterized-queries 的解决方案,但我仍然收到此消息

类别的名称。

值:SQL 中使用的特殊元素的不正确中和 命令('SQL 注入')

描述:对缺陷类型的更详细描述。

值:此数据库查询包含 SQL 注入缺陷。通话 到 system_data_dll.System.Data.IDbCommand.ExecuteNonQuery() 构造 使用从用户提供的输入派生的变量的动态 SQL 查询。 攻击者可以利用此漏洞执行任意 SQL 查询 针对数据库。 ExecuteNonQuery() 在一个对象上被调用,它 包含受污染的数据。受污染的数据源自早期的调用 到 system_data_dll.system.data.sqlclient.sqlcommand.executescalar,和 system_data_dll.system.data.common.dbdataadapter.fill。避免 动态构造 SQL 查询。相反,使用参数化 准备好的语句以防止数据库解释 绑定变量的内容作为查询的一部分。始终验证 用户提供的输入,以确保它符合预期的格式, 尽可能使用集中的数据验证程序。参考: CWE (http://cwe.mitre.org/data/definitions/89.html) OWASP (http://www.owasp.org/index.php/SQL_injection) (http://webappsec.pbworks.com/SQL-Injection)

更新

原码:

Public Shared Sub AlterTable(ByVal table As String, ByVal fieldName As String, ByVal fieldType As String)

    Dim strSQL As String = "ALTER TABLE " & PROJ & fileCode & " ALTER COLUMN " & fieldName & " " & fieldType
    _db.Execute_NonQuery(strSQL)

End Sub

Public Overloads Function Execute_NonQuery(ByVal sql As String) As Integer
    Dim result As Integer = 0

    Try
        Using conn As New SqlConnection(connString)
            conn.Open()
            If conn IsNot Nothing Then
                Using myTrans As SqlTransaction = conn.BeginTransaction()
                    Using oCmd As SqlCommand = New CommonDao().GetCommand(conn, sql, CommandType.Text)
                        If (oCmd IsNot Nothing) Then
                            oCmd.Transaction = myTrans

                            result = oCmd.ExecuteNonQuery()
                            myTrans.Commit()
                        End If
                    End Using
                End Using
            End If
        End Using
    Catch ex As Exception
        _logger.Error("SQL: " & sql)
        _logger.Error("Error: " & ex.Message)
        Throw ex
    End Try
    Return result
End Function

我修改后的代码

Public Shared Sub AlterTable(ByVal table As String, ByVal fieldName As String, ByVal fieldType As String)

    Dim strSQL As String = "ALTER TABLE @table ALTER COLUMN @fieldName @fieldType"
    _db.Execute_NonQuery(strSQL, New String() {"@table","@fieldName","@fieldType"}, New Object() {table, fieldName, fieldType}, False, CommandType.Text)

End Sub

Public Overloads Function Execute_NonQuery(ByVal spName As String, ByVal param() As String, ByVal values() As Object, ByVal orderNum As Boolean, ByVal commandType As CommandType) As Integer
    Dim result As Integer = 0

    Try
        Using conn As New SqlConnection(connString)
            conn.Open()
            If conn IsNot Nothing Then
                Using oCmd As SqlCommand = New CommonDAO().GetCommand(conn, spName, commandType)
                    If (oCmd IsNot Nothing) Then
                        If Not (param Is Nothing) AndAlso (param.Length > 0) Then
                            For i = 0 To param.Length - 1
                                oCmd.Parameters.Add(New SqlParameter(param(i), values(i)))
                            Next
                        End If

                        result = oCmd.ExecuteNonQuery()
                    End If
                End Using
            End If
        End Using
    Catch ex As Exception
        _logger.Error("SQL: " & spName)
        _logger.Error("Error: " & ex.Message)

        Throw ex
    End Try

    Return result
End Function

【问题讨论】:

  • 您所做的修复是什么样的?
  • 你应该添加你现在拥有的代码。
  • @guys,我已经更新了问题的原代码和修改代码
  • 我不确定这会创建有效的 SQL,这种方法应该在您的输入周围加上单引号,因为它们是字符串,例如:ALTER TABLE 'tablename' ADD 'fieldname' 'VARCHAR(50)',这是无效的 SQL。
  • 你是对的,Jaco。我确实选择了错误的解决方案:W

标签: sql .net vb.net sql-injection


【解决方案1】:

根据用户输入动态更改表格是一种非常奇怪的方法。我几乎可以肯定你在这里做错了什么。

您需要添加一列还是只需要使用另一个表和一些连接重新设计您的数据库?

话虽如此,您可能可以通过将动态 SQL 推入存储过程并执行它来隐藏问题。这不好,但是如果您只是响应警告并且无法从不受信任的来源执行此代码,则它可能是最实用的。

我可以通过快速谷歌找到最接近的是:

https://technet.microsoft.com/en-us/library/ms162203(v=sql.90).aspx

这是VB,但我相信你可以解决。

【讨论】:

    猜你喜欢
    • 2011-09-26
    • 2018-06-07
    • 1970-01-01
    • 2019-02-16
    • 2010-12-21
    • 1970-01-01
    • 1970-01-01
    • 2019-04-28
    • 2012-11-23
    相关资源
    最近更新 更多