C# et MySQL .NET Connecteur - de Toute façon de prévenir les attaques par Injection SQL dans une classe générique?

Mon idée est de créer des classes génériques pour Insérer/mettre à Jour/choisir via un C# (3.5) Winforms app de parler avec une base de données MySQL via MySQL .NET Connecteur 6.2.2.

Par exemple:

public void Insert(string strSQL)
{
   if (this.OpenConnection() == true)
   {
       MySqlCommand cmd = new MySqlCommand(strSQL, connection);
       cmd.ExecuteNonQuery();
       this.CloseConnection();
   }
}

Puis, à partir de n'importe où dans le programme, je peux exécuter une requête avec/sans intervention de l'utilisateur simplement en passant une chaîne de requête SQL.

De lecture autour de SORTE commençait à me donner l'indication que cela peut conduire à des attaques par injection SQL (pour tout utilisateur des valeurs d'entrée). Est-il de toute façon de frotter la saisie strSQL ou dois-je aller et de créer des requêtes paramétrées dans chaque méthode qui a besoin de faire une fonction base de données?

UPDATE1:

Ma solution Finale ressemble à quelque chose comme ceci:

public void Insert(string strSQL,string[,] parameterValue)
{
   if (this.OpenConnection() == true)
   {
       MySqlCommand cmd = new MySqlCommand(strSQL, connection);

       for(int i =0;i< (parameterValue.Length / 2);i++)
       {                        
       cmd.Parameters.AddWithValue(parameterValue[i,0],parameterValue[i,1]);          
       }

       cmd.ExecuteNonQuery();
       this.CloseConnection();
   }}

Ce cris horrible idée. Vous devez utiliser un ORM ou écrire stockées procs.

OriginalL'auteur John M | 2010-05-05

.net c#mysql mysql-connector mysql-parameter

11

Vous devriez certainement utiliser des requêtes paramétrées pour vous garder en sécurité.

Vous n'avez pas à part créer des requêtes paramétrées à chaque fois. Vous pouvez modifier la méthode générique que vous avez fourni à accepter une collection de MySqlParameters:
```
public void Insert(string strSQL, List<MySqlParameter> params)
{
    if(this.OpenConnection() == true)
    {
        MySqlCommand cmd = new MySqlCommand(strSQL, connection)
        foreach(MySqlParameter param in params)
            cmd.Parameters.Add(param);

        cmd.ExecuteNonQuery();
        this.CloseConnection();
    }
}
```
Je dois aussi mentionner que vous devriez être TRÈS prudent au sujet de nettoyage de vos connexions après que vous avez fini de les utiliser (généralement traités dans un using bloc, mais je ne vois pas ce niveau de détail dans votre exemple de code).

Merci Justin - j'étais en train de réfléchir à un moyen de s'hybrider à une classe générique avec des requêtes paramétrées, mais vous me battre pour elle. Pouvez-vous préciser ce que vous entendez par un à l'aide de bloc?
pouvez-vous me dire comment je peux utiliser cette sql wrapper? merci =)

OriginalL'auteur Justin Niessner
11

Paramétrage est très facile à faire. Beaucoup plus facile que de frotter les requêtes SQL, et moins salissant ou sujettes à erreur que manuel s'échapper.

Légèrement modifié copier/coller à partir de ce tutoriel page parce que je me sens paresseux:
```
//User input here
Console.WriteLine("Enter a continent e.g. 'North America', 'Europe': ");
string userInput = Console.ReadLine();

string sql = "SELECT Name, HeadOfState FROM Country WHERE Continent=@Continent";
MySqlCommand cmd = new MySqlCommand(sql, conn);
cmd.Parameters.AddWithValue("@Continent", userInput);

using (MySqlDataReader dr = cmd.ExecuteReader())
{
    //etc.
}
```
Qui n'était pas si dur, était-il? 🙂

Merci @Thorarin - je suis allé avec @Justin Niessner de réponse en raison de sa nature générique (je ne veux pas de connexion/MySQL code de chaque méthode), mais votre réponse aide vraiment avec la syntaxe.
M: Vous êtes les bienvenus pour écrire les méthodes de wrapper de cours. Mon but était de montrer le métal nu.

OriginalL'auteur Thorarin
1

Il est impossible de détecter l'injection SQL après le fait (en d'autres termes, une fois que vous avez construit une dynamique de chaîne de requête, il est impossible de différencier ce que le "réel" SQL est contre toute injecté SQL).

Si votre intention est de permettre aux utilisateurs d'exécuter des commandes arbitraires SQL, alors il me semble que vous ne serais pas trop inquiet au sujet de l'injection SQL (puisque c'est la but de l'injection SQL).

Merci @Adam - je n'y avais pas pensé de cette façon - je suppose qu'il peut y avoir certaines méthodes de l'aide de Regex, etc sur les requêtes, mais chaque approche aurait probablement une vulnérabilité.
Il n'y a pas de façon générique, RegEx ou pas. Quelle que soit la méthode que vous utilisez est allez avoir à savoir quelque chose à propos de la façon dont la requête ou de la déclaration d' doit, donc il n'y a aucun moyen de le faire dans un contexte neutre.

OriginalL'auteur Adam Robinson
1

Je m'attends à ce qu'il serait assez difficile de gommage en texte brut qui sera utilisé pour SQL. Si possible je voudrais essayer d'utiliser paramétrée opérations.

Seule exception serait si vous n'avez pas exposer la fonction public, et vous n'avez jamais passé dans une chaîne de caractères qui a été construit à partir des matières premières entrées de l'utilisateur.

OriginalL'auteur John Weldon
1

si vous utilisez MySqlParameter et ne génèrent pas de la plaine de la chaîne de requêtes, vous êtes en sécurité.

OriginalL'auteur Andrey
1

Vous ne pouvez pas vraiment ce - que vous auriez besoin d'écrire un analyseur SQL qui pour le moins est non-trivial et sujettes à erreur.

Mordre la balle et paramétrer vos requêtes.

OriginalL'auteur Joe
1

Je voudrais vous conseillons d'utiliser l'IDataParameter objets de paramétrer vos requêtes.

OriginalL'auteur programatique
1

OUI, vous avez besoin pour créer des requêtes paramétrées, tout le reste va présenter un risque d'injection SQL

Je n'irais pas jusque-là. Il y a hermétiques les moyens d'échapper à la saisie de l'utilisateur. Malheureusement, les programmeurs sont des êtres humains, et peut-être oublié d'échapper à quelque chose...
La question était de processus/gommage APRÈS qu'il a été combiné avec SQL....à ce moment il est presque impossible à faire

OriginalL'auteur Mitchel Sellers

Vous devez vous connecter pour publier un commentaire.