这个防止SQL注入的代码好用吗？

Question

找到此代码用于防止使用 HTTPModules 进行一些基本的 MySql 注入

public class SampleSqlInjectionScreeningModuleCS : IHttpModule
{
    //Defines the set of characters that will be checked.
    //You can add to this list, or remove items from this list, as appropriate for your site
    public static string[] blackList = {"--",";--",";","/*","*/","@@","@",
                                       "char","nchar","varchar","nvarchar",
                                       "alter","begin","cast","create","cursor","declare","delete","drop","end","exec","execute",
                                       "fetch","insert","kill","open",
                                       "select", "sys","sysobjects","syscolumns",
                                       "table","update"};

    public void Dispose()
    {
        //no-op 
    }

    //Tells ASP.NET that there is code to run during BeginRequest
    public void Init(HttpApplication app)
    {
        app.BeginRequest += new EventHandler(app_BeginRequest);
    }

    //For each incoming request, check the query-string, form and cookie values for suspicious values.
    void app_BeginRequest(object sender, EventArgs e)
    {
        HttpRequest Request = (sender as HttpApplication).Context.Request;

        foreach (string key in Request.QueryString)
            CheckInput(Request.QueryString[key]);
        foreach (string key in Request.Form)
            CheckInput(Request.Form[key]);
        foreach (string key in Request.Cookies)
            CheckInput(Request.Cookies[key].Value);
    }

    //The utility method that performs the blacklist comparisons
    //You can change the error handling, and error redirect location to whatever makes sense for your site.
    private void CheckInput(string parameter)
    {
        for (int i = 0; i < blackList.Length; i++)
        {
            if ((parameter.IndexOf(blackList[i], StringComparison.OrdinalIgnoreCase) >= 0))
            {
                //
                //Handle the discovery of suspicious Sql characters here
                //
                HttpContext.Current.Response.Redirect("~/About.aspx");  //generic error page on your site
            }
        }
    }

}

这是一个好的代码还是你认为我需要在黑名单中添加更多的东西，或者忘记这个并尝试另一种方法来防止注入？

Answer 1

不，不好。

它将阻止有效输入，并且绝不会保护从错误/无效数据构造查询的代码。

假设传入的数据很糟糕，只需正确构造查询，您的情况就会好得多。

Answer 2

不，黑名单无法阻止 SQL 注入。有关绕过黑名单的方法，请参阅 OWASP 页面。你应该只使用parameterized queries

Answer 3

清理/过滤数据的黑名单方法从来没有是清理数据的最佳方法。 （虽然在某些情况下是合适的，这取决于权衡）

这里有一个简单的解释：http://www.testingsecurity.com/whitelists_vs_blacklists

黑名单正在根据否定列表测试所需的输入 输入的。基本上你会编制一份所有负面或 条件不好，然后验证接收到的输入不是 坏的或消极的条件。白名单正在测试所需的输入 针对可能的正确输入列表。要做到这一点，你会 编译所有良好输入值/条件的列表，然后验证 接收到的输入是这种正确条件之一。

你觉得哪个更好？攻击者会使用任何手段 可以访问您的基于 Web 的应用程序。这包括 尝试各种负面或不良条件，各种编码 方法，并将恶意输入数据附加到有效数据中。你 认为你能想到所有可能的坏排列 发生？白名单是验证输入的最佳方式。你会知道 确切地说是需要什么，并且不接受任何错误的类型。 通常，创建白名单的最佳方法是使用 常用表达。使用正则表达式是一个很好的方法 抽象白名单，而不是手动列出所有可能的 正确的值。

您最好使用标准的、久经考验的防御措施：参数化查询或参数化存储过程。

Answer 4

当parameterized queries 可以为您（以及更多）工作时，为什么还要执行字符串检查？

在从代码发出的 SQL 语句中使用 Parameters.Add() 或 Parameters.AddWithValue()。