Éviter l'injection SQL à l'aide d'une requête non paramétrée
Je sais comment les requêtes paramétrées fonctionnent, et je les ai utilisées dans toutes les requêtes non codées que j'ai écrites jusqu'ici, mais en écrivant une fonction pour créer une requête dynamic (à des fins de test), je me suis demandé si utiliser tel quel"
ssortingng sql = "SELECT * FROM Table WHERE"; ssortingng fullssortingng = "The quick brown fox jumped over"; ssortingng[] words = fullssortingng.Split(' '); foreach (ssortingng item in words) { sql = sql + " Column LIKE '%" + item + "%' AND"; } sql = sql.Remove(sql.Length - 3); Si je devais transformer ceci en une requête, le résultat serait
SELECT * FROM Table WHERE Column LIKE '%the%' AND Column LIKE '%quick%' AND Column LIKE '%brown%' AND Column LIKE '%fox%' AND Column LIKE '%jumped%' AND Column LIKE '%over%'
Maintenant, je suis toujours sûr que cela est toujours ouvert aux attaques par injection en raison de l'absence de parameters, mais je ne sais pas comment le délimiteur étant un caractère espace rendant des choses comme SELECT * FROM TABLE ou DROP TABLE impossible à écrire dans la string que chacun serait divisé en leurs propres strings à savoir. SELECT , * , FROM et TABLE
Quelqu'un peut-il m'éclairer davantage?
- Requête SQL vers LINQ C #
- Impossible de convertir DateTime de SQL Server en C # DateTime
- Comment comparer deux arrays d'octets avec une valeur d'opérateur supérieure ou inférieure à C # ou Linq?
- Linq to Sql – Format DateTime – AAAA-MMM (2009-mars)
- Ralentissement des performances de SqlCommand avec CommandText plus long
(Remarque, ne pas l'intention de l'utiliser comme une alternative aux parameters appropriés, juste essayer de comprendre)
- Configuration du mode mono-user pour restaurer la sauvegarde
- Existe-t-il un logiciel open source pour convertir des instructions SQL en LINQ?
- Lequel peut avoir de meilleures performances – LINQ to EF ou NHibernate?
- .net Cryptage des tables de database
- Est-il possible d'utiliser l'action $ de l'instruction MERGE dans la variable de sortie de la procédure stockée?
select"name"from"sys"."columns"
Est un exemple d'une requête que je peux écrire que SQL Server va traiter et qui ne contient aucun espace.
Alors, dites non.
Voici un autre exemple montrant une autre façon de contourner "pas d'espaces" et sous une forme "injectée":
select name from sys.columns where name like '%a'union/**/all/**/select/**/name/**/from/**/sys.objects
Si la string a été formatée comme ça:
ssortingng fullssortingng = "DROP\tTABLE\tTableName";
vous auriez toujours un problème avec l'injection … Juste un exemple simple.
- Est-il possible d'utiliser une connection sécurisée (SSPI) avec l'API SQLDMO?
- Y at-il un moyen de déterminer si un paramètre dans un proc stocké a une valeur par défaut (et donc pas nécessaire) dans le code – .Net?
- Comment puis-je referencer un champ dans LINQ nommé à l'aide d'un mot réservé?
- Aide à la déclaration SQL
- Mise à l'échelle de SQL Server sur les services Web Amazon
- Accès à la database SQL Server à partir de l'application Silverlight
- Impossible de se connecter à la database SQL Server: la connection a échoué pour l'user 'sa'
- Y a-t-il une list de valeurs de class d'erreur d'exception et ce qu'elles signifient? Plus précisément sqlexception
- Créer des tables de database SQL Server à partir de classs C #
- Erreur – LINQ / TransactionScope avec plusieurs connections de database