Peut instruction paramétrée arrêter tous les injection SQL?

Si oui, pourquoi il y a encore beaucoup de succès à des injections SQL? Juste parce que certains développeurs sont trop con pour utiliser les instructions paramétrées?

  • C'est une grande question, avec absolument terrible réponses (comme le temps, je suis commentaires)
  • Je souhaite que quelqu'un avec une bonne 15k à la réputation ou au moins avec une bonne expérience pouvez ajouter une contribution précieuse à cette question.
  • Voir projet de Loi Karwin de l' Sql Injection Mythes et idées fausses parler et diapositives pour plus d'informations sur ce sujet. Il explique ce que l'injection SQL est, comment échapper n'est généralement pas assez bon, et comment les procédures stockées et de paramétrer des déclarations peut être compromise.
  • Voir certains projet de Loi Karwin de l' des réponses à des questions similaires: qu'est-Ce que l'injection SQL?
InformationsquelleAutor iceagle | 2011-07-22
  1. 59

    Les liens que j'ai posté dans mes commentaires à la question d'expliquer le problème très bien. Je viens de résumer mes sentiments sur les raisons pour lesquelles le problème persiste, ci-dessous:

    1. Ceux qui commencent tout juste peut avoir aucune conscience de l'injection SQL.

    2. Certains sont conscients de l'injection SQL, mais pense que l'évitement est la (seule?) solution. Si vous faites une recherche rapide sur Google pour php mysql query, la première page qui s'affiche est le mysql_query page, sur laquelle il y a un exemple qui montre l'interpolation échappé à la saisie de l'utilisateur dans une requête. Il n'y a pas de mention (au moins pas ce que je peux voir) de l'utilisation des requêtes préparées à la place. Comme d'autres l'ont dit, il ya tellement de nombreux tutoriels qui utiliser le paramètre d'interpolation, que ce n'est pas vraiment surprenant de constater que c'est encore souvent utilisé.

    3. Un manque de compréhension de la façon dont les instructions paramétrées travail. Certains pensent que c'est juste une fantaisie moyen d'échapper à des valeurs.

    4. D'autres sont conscients des instructions paramétrées, mais ne les utilisent pas parce qu'ils ont entendu dire qu'ils sont trop lents. Je soupçonne que beaucoup de gens ont entendu comment incroyablement lent paramterized consolidés sont, mais n'ont pas fait de test de leur propre. Comme le projet de Loi Karwin l'a souligné dans son discours, la différence de performance est rarement utilisé comme un facteur lorsque l'on examine l'utilisation des requêtes préparées. Les avantages de préparer une fois, exécuter de nombreuses, semblent souvent être oublié, de même que les améliorations dans la sécurité et la maintenabilité du code.

    5. Certains utilisent des instructions paramétrées partout, mais avec interpolation des valeurs non vérifiées, tels que des tables et des colonnes de noms, mots-clés et les opérateurs conditionnels. Des recherches dynamiques, tels que ceux qui permettent aux utilisateurs de spécifier un certain nombre de différents champs de recherche, de faire une comparaison des conditions et l'ordre de tri, sont d'excellents exemples de cette.

    6. Faux sentiment de sécurité lors de l'utilisation d'un ORM. Orm permettent encore d'interpolation de l'instruction SQL pièces - voir 5.

    7. De programmation est un sujet vaste et complexe, gestion de base de données est un sujet vaste et complexe, la sécurité est un sujet vaste et complexe. Le développement d'une base de données sécurisée de l'application n'est pas facile - même les développeurs expérimentés peuvent se faire attraper.

    8. Beaucoup de réponses sur stackoverflow n'aident pas. Quand les gens écrivent des questions que l'utilisation du SQL dynamique et les paramètres d'interpolation, il y a souvent un manque de réponses qui suggèrent à l'aide des instructions paramétrées à la place. A quelques reprises, j'ai eu des gens de réfuter ma suggestion: utiliser les requêtes préparées, généralement en raison de la perception de l'inacceptable sur les performances système. Je doute sérieusement que ceux qui demandent la plupart de ces questions sont dans une position où le supplément de quelques millisecondes de préparation d'une instruction paramétrée aura un effet catastrophique sur leur application.

    InformationsquelleAutor Mike
  2. 44

    Lorsque les articles parlent des requêtes paramétrées arrêt de SQL attaques, ils n'ont pas vraiment expliquer pourquoi, c'est souvent une affaire de "Il ne, alors ne me demandez pas pourquoi" - peut-être parce qu'ils ne savent pas eux-mêmes. Un signe certain d'un mauvais éducateur est celui qui ne peut pas admettre qu'ils ne savent pas quelque chose. Mais je m'égare.
    Quand je dis que je l'ai trouvé tout à fait compréhensible être confondu est simple. Imaginez une dynamique de requêtes SQL

    sqlQuery='SELECT * FROM custTable WHERE User=' + Username + ' AND Pass=' + password

    une simple injection sql serait juste de mettre le nom d'utilisateur en tant que ' or 1=1--
    Cela permettrait effectivement de faire la requête sql:

    sqlQuery='SELECT * FROM custTable WHERE User='' OR 1=1-- ' AND PASS=' + password

    Cela dit sélectionnez tous les clients là où ils sont le nom d'utilisateur est vide ( "" ) ou 1=1, ce qui est un booléen, soit vrai. Ensuite, il utilise -- pour commenter le reste de la requête. Donc cela il suffit d'imprimer tous les clients de la table, ou faire ce que vous voulez avec elle, si la connexion, il va se connecter avec la première privilèges de l'utilisateur, qui peut souvent être l'administrateur.

    Maintenant des requêtes paramétrées le faire différemment, avec un code comme:

    sqlQuery='SELECT * FROM custTable WHERE User=? AND Pass=?'

parameters.add("User", username)
parameters.add("Pass", password)

    où nom d'utilisateur et mot de passe sont des variables pointant à la saisie de nom d'utilisateur et le mot de passe

    Maintenant, à ce stade, vous pensez peut-être, cela ne changera rien du tout. Sûrement, vous pouvez toujours juste de la mettre dans le champ nom d'utilisateur, quelque chose comme Personne OU 1=1'--, ce qui fait la requête:

    sqlQuery='SELECT * FROM custTable WHERE User=Nobody OR 1=1'-- AND Pass=?'

    Et cela semble comme un argument valable. Mais, vous avez tort.

    La façon dont les requêtes paramétrées travail, c'est que le sqlQuery est envoyé sous la forme d'une requête et de la base de données sait exactement ce que cette requête va le faire, et alors seulement, il insérez le nom d'utilisateur et mots de passe simplement en tant que valeurs. Cela signifie qu'ils ne peuvent pas l'effet de la requête parce que la base de données, on sait déjà ce que la requête ne pourra le faire. Donc, dans ce cas, il aurait l'air d'un nom d'utilisateur de "Personne OU 1=1'--" et un mot de passe vide, qui doit venir de faux.

    Cette solution n'est pas complète si, et de validation de la saisie aura encore besoin d'être fait, car ce ne sera pas pour effet d'autres problèmes, tels que les attaques XSS, comme vous avez pu encore mettre du code javascript dans la base de données. Alors si c'est de lire sur une page, il affiche normalement javascript, selon toute validation de sortie. Si vraiment la meilleure chose à faire est de toujours utiliser la validation de l'entrée, mais à l'aide de requêtes paramétrées ou des procédures stockées pour stopper toutes les attaques SQL.

    • Ce qui ajoute beaucoup à ce que je cherchais, mais pourriez-vous expliquer plus sur ce que vous feriez pour "validation de l'entrée?" Vous avez également mentionné qu'il y a d'autres attaques qui pourraient avoir lieu à la requête, c'est à dire, XSS, mais pourriez vous m'expliquer comment cela se passerait-il? Donc, essentiellement, comment serait-il protéger complètement contre les injections SQL, ou sommes-nous loooking à tous les types d'injection? merci.
    • Compte tenu de la façon dont beaucoup de gens nous ont demandé comment des instructions paramétrées de travail, il est choquant de voir si peu d'autres, vraiment - briser la réponse comme vous l'avez fait. Merci d'avoir écrit ce une explication claire avec un joli exemple intuitif.
    • Brillant. Un exemple vaut mille mots comme ils disent!
    InformationsquelleAutor Josip Ivic
  3. 10

    Bien bonne question.
    La réponse est plus déterministe et stochastique que je vais essayer d'expliquer mon point de vue, à l'aide d'un petit exemple.

    Il y a de nombreuses références sur le net qui nous suggérer d'utiliser des paramètres à nos demandes d'information ou d'utiliser une procédure stockée avec des paramètres afin d'éviter l'Injection SQL (SQLi). Je vais vous montrer que des procédures stockées (par exemple) n'est pas la baguette magique contre SQLi. La responsabilité reste encore sur le programmeur.

    De considérer les éléments suivants Procédure Stockée SQL Server qui vous permettra d'obtenir la ligne d'utilisateur à partir d'une table "Utilisateurs":

    create procedure getUser
 @name varchar(20)
,@pass varchar(20)
as
declare @sql as nvarchar(512)
set @sql = 'select usrID, usrUName, usrFullName, usrRoleID '+
           'from Users '+
           'where usrUName = '''+@name+''' and usrPass = '''+@pass+''''
execute(@sql)

    Vous pouvez obtenir les résultats en passant comme paramètres le nom d'utilisateur et le mot de passe. En supposant que le mot de passe en texte libre (seulement pour des raisons de simplicité de cet exemple) d'un appel normal serait:

    DECLARE @RC int
DECLARE @name varchar(20)
DECLARE @pass varchar(20)

EXECUTE @RC = [dbo].[getUser] 
   @name = 'admin'
  ,@pass = '!@Th1siSTheP@ssw0rd!!'
GO

    Mais ici nous avons une mauvaise technique de programmation utilisé par le programmeur à l'intérieur de la procédure stockée, de sorte qu'un attaquant peut exécuter les opérations suivantes:

    DECLARE @RC int
DECLARE @name varchar(20)
DECLARE @pass varchar(20)

EXECUTE @RC = [TestDB].[dbo].[getUser] 
   @name = 'admin'
  ,@pass = 'any'' OR 1=1 --'
GO

    Les paramètres ci-dessus seront passées en arguments à la procédure stockée et la commande SQL qui finalement sera exécutée est:

    select usrID, usrUName, usrFullName, usrRoleID 
from Users 
where usrUName = 'admin' and usrPass = 'any' OR 1=1 --'

    ..ce qui permettra d'obtenir toutes les lignes arrière des utilisateurs

    Le problème ici est que nous avons tout de même suivre le principe de "Créer une procédure stockée et transmettre les champs de recherche que les paramètres de" la SQLi est toujours pratiquée. C'est parce que nous venons de copier notre mauvaise programmation de la pratique à l'intérieur de la procédure stockée. La solution de ce problème consiste à réécrire notre Procédure Stockée comme suit:

    alter procedure getUser
 @name varchar(20)
,@pass varchar(20)
as
select usrID, usrUName, usrFullName, usrRoleID 
from Users 
where usrUName = @name and usrPass = @pass

    Ce que j'essaie de dire, c'est que les développeurs doivent apprendre d'abord ce qu'est un SQLi attaque est et comment peut être effectué et pour la sauvegarde de leur code en conséquence. Suivant aveuglément les "meilleures pratiques" n'est pas toujours la manière la plus sécuritaire... et c'est peut-être pourquoi nous avons tant de "bonnes pratiques" - ne!

    • Je peux comprendre votre point de vue et je suis coupable de cela. Parfois, il ya un besoin pour la dynamique de la requête sql de création de laquelle j'ai utilisé de la concaténation des paramètres. Comment voulez-vous me suggère d'aller à ce sujet?
    • c'est une bonne question. Envisager sp_executesql: msdn.microsoft.com/en-us/library/ms188001.aspx
    • Salut tim. Im nouveau à sql dynamique. Quelle est la différence entre sp_executesql et d'EXÉCUTION(@SqlQuery)
    • je pense que ce post explique un exemple simple de bien: codeproject.com/Tips/586207/..., mais en gros, EXECUTE(@SqlQuery) ne fait rien pour empêcher l'injection sql,cependant sp_executesql(@SqlQuery, ..., ...) ne l'en empêcher. Les exemples dans l'article microsoft devrait aider.
    • Tim a la solution TheProvost... 😉 Vous pouvez utiliser sp_executesql(@REQUÊTE, @PARAMÈTRES, @VAR)... pour une dynamique SQL cas... 😉
    InformationsquelleAutor Andreas Venieris
  4. 5

    Oui, l'utilisation des requêtes préparées arrête toutes les injections SQL, au moins en théorie. Dans la pratique, les instructions paramétrées peuvent ne pas être réel préparées, par exemple, PDO en PHP émule par défaut donc c'est ouvert à un bord d'attaque.

    Si vous êtes en utilisant de vraies déclarations préparées à l'avance, tout est sûre. Eh bien, au moins aussi longtemps que vous n'avez pas concaténer dangereux SQL dans votre requête comme une réaction pour ne pas être en mesure de préparer des noms de table par exemple.

    Si oui, pourquoi il y a encore beaucoup de succès à des injections SQL? Juste parce que certains développeurs sont trop con pour utiliser les instructions paramétrées?

    Oui, l'éducation est le point principal ici, et l'héritage des bases de code. De nombreux tutoriels d'utilisation de fuir et ceux qui ne peuvent pas être facilement retiré du web, malheureusement.

    • Liés réponse n'a rien à voir avec les requêtes préparées en fait.
    • C'est sur les requêtes paramétrées, ils peuvent ne pas être réelle prépare mais émulés en fonction du pilote. Il est important de savoir et très bien connecté...
    • Autre réponse dans la même page ont un très bon commentaire: "Si TOUTES vos requêtes paramétrées, vous êtes également protégé contre la 2ème commande d'injection. 1ère commande d'injection, c'est d'oublier que les données de l'utilisateur sont pas dignes de confiance. 2ème commande d'injection, c'est d'oublier que la base de données est indigne de confiance (parce que c'était de l'utilisateur à l'origine)."
    • liés réponse n'est pas sur les requêtes paramétrées, il est à propos d'une bibliothèque que l'essentiel des faux eux. Une requête paramétrée est celui qui est envoyé au serveur séparé avec des valeurs de paramètre.
    • Je sais que le contenu de cette réponse assez bien. C'est juste un exemple (et une jolie commune) que les requêtes paramétrées vous utilisez ne peut pas réellement être mis en œuvre que des déclarations préparées à l'avance...
    InformationsquelleAutor kelunik
  5. 3

    - Je éviter absolus dans la programmation, il y a toujours une exception. Je recommande fortement les procédures stockées et les objets de commande. La majorité de mon arrière du terrain est avec SQL Server, mais je ne joue qu'avec MySql à partir de temps à autre. Il existe de nombreux avantages pour les procédures stockées, y compris la mise en cache des plans de requête; oui, cela peut être accompli avec des paramètres et dans la ligne de SQL, mais qui ouvre plus de possibilités pour les attaques par injection et n'aide pas à la séparation des préoccupations. Pour moi, il est aussi beaucoup plus facile à sécuriser une base de données que mes applications n'ont généralement autorisation d'exécution de ladite procédures stockées. Sans direct de table/vue de l'accès, il est beaucoup plus difficile à injecter quoi que ce soit. Si les applications de l'utilisateur est compromis, on n'a l'autorisation d'exécuter exactement ce qui a été pré-définis.

    Mes deux cents.

    • Comment est-ce lié à la question? Comment allez-vous appeler et passer des paramètres à la procédure stockée? Utilisant la concaténation de chaîne ou à l'aide d'une requête paramétrée? En outre - ce que si quelqu'un utilise la concaténation de chaîne à l'intérieur la procédure stockée afin de créer une "dynamique" de la requête? Juste parce que c'est une procédure stockée ne veut pas dire que c'est plus sûr
    • Généralement j'utilise un objet de commande et j'ai aussi éviter d'exécuter des "requêtes dynamiques" de par leur conception.
    InformationsquelleAutor Derek
  6. 2

    Je ne dirais pas "stupide".

    Je pense que les tutos sont le problème. La plupart SQL tutoriels, livres, quelle que soit expliquer SQL avec inline valeurs, de ne pas mentionner lier des paramètres à tous. L'apprentissage de ces tutoriels n'ont pas la possibilité d'apprendre le droit.

    • Ce n'est pas assez. Pourquoi les gens n'utilisez pas de cadre ou de certains orm? Pourquoi ils ne l'ont pas fait de test pour "dumb injection" avec un peu stupide testeur? Parce que parfois, le patron ne vous paie pas bien ou qu'il vous paie X fonds pour un projet et que vous devez exécuter à partir d'un projet à un autre projet et de l'un à l'autre pour obtenir de l'argent. Vous devez être de plus en plus vite. Le codeur est stressé et plus pressées, le code fonctionne, mais c'est mal écrit.
    • Cela ne répond pas à la question. Cela ressemble plus un commentaire qu'une réponse. Question centrale posée par l'OP n'est pas répondu.
    InformationsquelleAutor Markus Winand
  7. 2

    Parce que la plupart de code n'est pas écrit en pensant à la sécurité, et la gestion, le choix entre l'ajout de fonctionnalités (en particulier quelque chose de visible, qui peuvent être vendus) et de la sécurité, de la stabilité et de la fiabilité (qui est beaucoup plus difficile de vendre), ils seront presque toujours choisir la première. La sécurité est un sujet de préoccupation seulement quand il devient un problème.

    InformationsquelleAutor evil otto
  8. 2

    Peut instruction paramétrée arrêter tous les injection SQL?

    Oui, aussi longtemps que votre pilote de base de données offre un espace réservé pour tous les possible de SQL littérale. La plupart de préparation des pilotes n'en ont pas. Dites, vous n'auriez jamais trouver un espace réservé pour un nom de champ ou pour un tableau de valeurs. Qui va faire un développeur de retomber dans l'adaptation d'une requête à la main, à l'aide de la concaténation et la mise en forme manuelle. Avec les résultats prévus.

    C'est pourquoi j'ai fait mon Mysql wrapper pour PHP qui prend en charge la plupart des littéraux, qui peuvent être ajoutés à la requête dynamiquement, y compris les tableaux et les identificateurs.

    Si oui, pourquoi il y a encore beaucoup de succès à des injections SQL? Juste parce que certains développeurs sont trop con pour utiliser les instructions paramétrées?

    Comme vous pouvez le voir, en réalité, il est juste impossible d'avoir tous vos requêtes paramétrées, même si vous n'êtes pas stupide.

    • Si TOUTES vos requêtes paramétrées (c'est ce qui arrive à partir de données de l'utilisateur ou à partir de votre base de données), il semble que vous êtes protégé, comme indiqué dans le plus voté commentaire ici: stackoverflow.com/a/134138/1086511
    • Je demande votre avis, juste parce que vous semblait assez raisonnable. Je ne pense pas que votre méthode est la meilleure, si ce que j'ai lu ailleurs détient. De toute façon, je vais l'amour si vous vous améliorer sur "régulièrement outils vous ne pouvez pas avoir TOUTES vos requêtes paramétrées".
    • J'ai commencé à lire votre réponse, jusqu'à ce que j'arrive à l'idée d'identifier "littéraux SQL". L'idée ne semble pas tout à fait le droit de me il semblait overjob). S'il est vrai que les requêtes paramétrées éviter l'injection en PHP (je suis encore en recherche), alors ma prochaine étape est d'éviter le javascript injections. Alors, je vais revenir à l'étude de votre solution. Aussi, je suis en utilisant postgres, et peut-être que votre solution est mysql spécifique?
    • Ok, maintenant je l'ai lu (encore une fois), et ne pense pas que "c'est juste impossible d'avoir toutes vos requêtes paramétrées" est une amélioration. Est-il impossible dans MySQL? Est-il impossible également dans PostgreSQL? Pourquoi? Est-il une requête en dehors de mon script php? Où? Je pense que par l'identificateur de vous dire un mot réservé que vous essayez de sortir la bande de votre $_POST tableau? Cela ne semble pas la voie à suivre, pour moi (intuitivement, j'ai peut-être tort, bien sûr). Aussi, je n'ai pas compris le "Avez-vous essayez de lier-il jamais?" Lier quoi?
    • Ce n'est pas si facile à trouver sur le web comme je le pensais. S'il vous plaît ajouter une référence si vous le pouvez.
    InformationsquelleAutor Your Common Sense
  9. 2

    Tout d'abord, ma réponse à votre première question: Oui, autant que je sache, en utilisant des requêtes paramétrées, injections SQL ne sera plus possible. Quant à vos questions ci-dessous, je ne suis pas sûr et ne peut que vous donner mon opinion sur les raisons:

    Je pense qu'il est plus facile de "juste" écriture de la chaîne de requête SQL par concaténer les différentes parties (peut-être même dépendant de certains contrôles logiques) ainsi que les valeurs à insérer.
    C'est juste de la création de la requête et de l'exécuter.
    Un autre avantage est que vous pouvez imprimer (echo, de sortie ou quoi que ce soit) la chaîne de requête sql et ensuite utiliser cette chaîne pour un manuel de requête du moteur de base de données.

    Lorsque vous travaillez avec des déclarations préparées à l'avance, vous avez toujours au moins une étape de plus:
    Vous devez construire votre requête (y compris les paramètres, bien sûr)
    Vous avez à vous préparer à la requête sur le serveur
    Vous devez lier les paramètres pour les valeurs réelles que vous souhaitez utiliser pour votre requête
    Vous devez exécuter la requête.

    Qui est un peu plus de travail (et pas si simple à programmer), en particulier pour certains "rapide et sale" des emplois qui se révèlent souvent être de très longue durée de vie...

    Cordialement,

    Boîte de

    InformationsquelleAutor TomS
  10. 1

    Pour protéger votre application contre l'injection SQL, exécutez les étapes suivantes:

    L'étape 1. Limiter l'entrée.
    Étape 2. Utilisez les paramètres avec des procédures stockées.
    Étape 3. Utilisez les paramètres avec le SQL dynamique.

    Reportez-vous à http://msdn.microsoft.com/en-us/library/ff648339.aspx

    • Les procédures stockées ne sont pas réellement une aide. Il est possible de construire des chaînes de requête dynamiquement dans une procédure stockée, tout comme dans le code client.
    • Je pourrais reformuler #2 comme "l'Utilisation des instructions paramétrées dans les requêtes et procédures stockées." +1 pour Novelocrat dans son commentaire que l'utilisation de procédures stockées sans paramètres ne veut pas de vous.
    InformationsquelleAutor Fahad Hussain
  11. 1

    Injection SQL est un sous-ensemble du problème de l'injection de code, où les données et le code sont fournis sur le même canal et de données est pris pour le code. Les requêtes paramétrées empêcher que cela se produise par la formation de la requête à l'aide de contexte sur ce qui est des données et quel est le code.

    Dans certains cas précis, ce n'est pas suffisant. Dans de nombreux DBMSes, il est possible d'exécuter dynamiquement SQL avec des procédures stockées, l'introduction d'une faille de SQL injection au SGBD niveau. Appel d'une telle procédure stockée à l'aide de requêtes paramétrées ne va pas empêcher l'injection SQL dans la procédure à partir de l'exploitation. Un autre exemple peut être vu dans ce blog.

    Le plus souvent, les développeurs utilisent la fonctionnalité de manière incorrecte. Souvent, le code ressemble à ceci une fois fait correctement:

    db.parameterize_query("select foo from bar where baz = '?'", user_input)

    Certains développeurs concaténer des chaînes, puis utiliser une requête paramétrée, ce qui n'est pas réellement faire de données ci-dessus/code distinction qui offre les garanties de sécurité que nous recherchons:

    db.parameterize_query("select foo from bar where baz = '" + user_input + "'")

    La bonne utilisation de requêtes paramétrées offre très fort, mais pas impénétrable, la protection contre les attaques par injection SQL.

    InformationsquelleAutor Daniel Crowley
  12. 1

    même si
    les requêtes préparées sont correctement utilisés tout au long de la web application
    code, de failles d'injection SQL peut encore exister que si la base de données des composants de code de construire
    des requêtes à partir de la saisie de l'utilisateur d'une manière dangereuse.
    L'exemple suivant est un exemple d'une procédure stockée qui est vulnérable à SQL
    l'injection dans le @nom de paramètre:

    CREATE PROCEDURE show_current_orders
(@name varchar(400) = NULL)
AS
DECLARE @sql nvarchar(4000)
SELECT @sql = SELECT id_num, searchstring FROM searchorders WHERE  +
searchstring = ‘’’ + @name + ‘’’’;
EXEC (@sql)
GO

    Même si l'application passe fourni par l'utilisateur nom de la valeur à la stockées
    procédure d'une manière sûre, la procédure elle-même concatène ceci directement dans
    une requête dynamique et est donc vulnérable.

    InformationsquelleAutor Hadid Graphics