SQL Injection - czy tym sposobem zabezpieczę się w 100%?

Question

Witam. Potrzebuję się dowiedzieć czy poniższa metoda uchroni mnie w 100% przed sql injection, czy raczej nie. Ogólnie sql injection można wykonać wychodząc z cudzysłowu znakiem ', Czyli np. przy zapytaniu SELECT x WHERE y = 'z', użytkownik zamiast z wpisze z' OR 'z' = 'z i będzie SELECT x WHERE y = 'z' OR 'z' = 'z'. Z tego co wiem, można pojedynczy znak cudzysłowy zastąpić podwójnym, wtedy będzie SELECT x WHERE y = 'z'' OR ''z'' = ''z' i atak będzie nieskuteczny. Pytanie natomiast brzmi, czy w ten sposób uchronię się przed wszystkimi atakami typu SQL Injection, czy są jeszcze jakieś inne znaki na które muszę uważać? Bo jeśli to wystarczy to znaczy że wystarczy dla każdego string'a wprowadzanego przez użytkownika wykonać operację zamiany ' na '' i sql injection będzie niemożliwe?

Answer 1

Nie kombinuj. Po prostu zamiast sklejać ręcznie stringi, użyj prepared statements i osobne przekazywanie/bindowanie argumentów.

To jest standardowy sposób pisania zapytań od co najmniej kilkunastu lat, więc proszę nie wynajduj koła na nowo :(

Przykład z PDO:

$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email AND status=:status');
$stmt->execute(['email' => $email, 'status' => $status]);

 

Comments

Akurat potrzebował bym rozwiązania w zapytaniu, bo nie pisze bezpośrednio w php.

---

(a w czym?)

---

Obecnie C#, ale fajnie by było rozwiązanie uniwersalne jakieś znać. Jeśli to co napisałem to prawda to będzie działać w każdym języku, pytanie tylko czy mam rację czy nie.

---

Obecnie C#

(w tagach pytania wpisałeś php, stąd założyłem php)

ale fajnie by było rozwiązanie uniwersalne jakieś znać

Uniwersalnym rozwiązaniem jest... prepared statement. Poważnie. Składnia jest różna, ale podejście jest takie samo w każdym języku od lat - przekazujesz stringa SQLowego z placeholderami i osobno "argumenty".

Przykład z dokumentacji MySQLa:

https://dev.mysql.com/doc/connector-net/en/connector-net-tutorials-parameters.html

string sql = "SELECT Name, HeadOfState FROM Country WHERE Continent=@Continent";
MySqlCommand cmd = new MySqlCommand(sql, conn);

cmd.Parameters.AddWithValue("@Continent", user_input);

Albo na przykład w Pythonie:

c.execute('SELECT * FROM users WHERE email = ? AND status = ?', (email, status))
 

 

---

@kubekszklany, lepiej nigdy samemu tego nie escapuj, bo możesz pominąć jakiś przypadek. Albo np. hakerzy wymyślą jakiś nowy sposób i tego nie uwzględnisz. Takie funkcje z gotowych bibliotek są na 100% bezpieczne i na bieżąco w razie czego uaktualniane. 

Co do C# to masz kilka możliwości. To co podał adrian17 jest dosyć niskopoziomowe, możesz też użyć Entity Framework albo np. Dappera jeżeli chcesz samemu pisać zapytanie

Answer 2

teoretycznie mógłbyś pozmieniać ' na \' i " na \" w stringach z których budujesz zapytanie i wydaje mi sie że powinno zadziałać

ale to tylko teoretycznie, lepiej nie ryzykować jak się dobrze nie ogarnia tematu i zaufać gotowym rozwiązaniom, często jest tak że coś co z zewnątrz wydaje sie bardzo proste, pod spodem jest tak na prawde skomplikowane

może jest jakiś sposób żeby to obejść (w sumie jak ktoś zna to chętnie sie dowiem)

Comments

Masz na myśli tzw. escape character? To właśnie wyjście z ' (pojedynczego cudzysłowa) to zamiana na '' (podwójny cudzysłów) z tego co wiem.

---

tak

To właśnie wyjście z ' (pojedynczego cudzysłowa) to zamiana na '' (podwójny cudzysłów) z tego co wiem

to źle wiesz, to zamiana znaku specjalnego który może być interpretowany w specjalny sposób, na dosłownie ten znak (żeby był traktowany jak każdy inny znak)

normalnie apostrofy i cudzysłowy są traktowane jako koniec stringa w sql, więc ktoś może go zakończyć przedwcześnie, a po tym dopisać własną część do zapytania - na tym polega sql injection 

jeśli taki znak nie będzie widoczny jako "ten specjalny znak", tylko "tak jak każdy inny", to powinien być zignorowany

 

ale pewnie na obejście tego też są sposoby, najlepiej byłoby poczytać kod jakiejś biblioteki chroniącej przed sql injection i sprawdzić jak oni to robią