SQL injection 幾種無效的防護程式範例迷思

SQL injection 幾種無效的防護程式範例迷思

這篇文章主要用兩個常見的範例說明無效的編碼防護方式

許多人常認為只要將特殊服務去除或是使用 Store procedure

就自然不會受到 SQL injection的攻擊

筆者舉兩個例子說明這樣的迷思與錯誤的觀念

 

迷思一: 過濾特殊字元

許多開發人員認為只要將 SQL 特殊符號去除就可以避免SQL injection

常見的簡單方式包含將 ‘ 變成 ”

儘管這樣的方式可以避免大部分的 SQL injection 但是還是會有遺漏的風險

讓我們來看一個例子, 這個例子中productName已經將輸入的字串將單引號 ‘ 變成雙引號” 避免 SQL injection 的攻擊

儘管這樣可以解決大部分的 SQL injection 攻擊, 這樣的方式到底會有什麼問題呢?

int price = ...; // price 

string productName = ...; // product Name
productName = productName.Replace("'","''");

SqlConnection sql= new SqlConnection(...);
sql.Open();
sqlstring=@"SELECT *" +
            " FROM client WHERE name= '" + productName+ "' or price =" + price;
SqlCommand cmd = new SqlCommand(sqlstring,sql);

假設駭客輸入下列攻擊字串

Book’ or 1=1 —,

由於 ‘ 會被轉換成雙引號, 造成整個 SQL 語句無效, 所以攻擊會失敗

但是這樣的防護方式如果遇到有數值得輸入時, 還是會受到 SQL Injection

因此, 駭客可以透過數值的輸入, 因為數值輸入不需要引號,

例如將價格輸入為 100; shutdown —

select * FROM client WHERE ID = 'Book'' or 1=1 -- ' or price=100; shutdown --

除此之外, 駭客可以使用 char(0x27)來代替單引號, 也可以避開過濾單引號的偵測防護

 

迷思二: 用 Stored Procedure

使用 Stored procedure  就一定安全嗎?

這個範例 Store procedure 引用一個外部參數 ProductName執行

string ProductName = ...; // Assume get the ProductName input from user

SqlConnection sql= new SqlConnection(...);
sql.Open();

// Execute the Store procedure with the ProductName input
sqlstring=@"exec sp_GetName '" + ProductName + "'";
SqlCommand cmd = new SqlCommand(sqlstring,sql);

駭客輸入字串如下, 造成 SQL 語句無效, SQL Injection攻擊會失敗

exec sp_GetName 'Book' 1=1 -- '

但是駭客還是可以輸入下列 SQL 語句, 除了會造成查詢Book之外, 還會新增一筆資料

exec sp_GetName 'Book' insert into client values(1000, 'Book2') -- '

最危險的 Store procedure範例就是可以讓使用者自由輸入 SQL 語句, 範例如下

CREATE PROCEDURE sp_myStore @input varchar(256)
AS
    exec(@input)

迷思三: 使用 SP_executeSQL就可以自動防護 SQL injection

許多的迷思認為只要使用 SP_executeSQL  就可以避免 SQL injection,

但是如果沒有正確的定義參數

還是會受到 SQL injection:

  set @cmd = N‘SELECT * FROM sys.database_principals WHERE name = ”’ + @name + N””

  set @parameters = null --沒有定義參數  還是會導致 SQL injection 

  EXEC sp_executesql @cmd, @parameters

正確的使用方式如下:

  set @parameters = ‘@name sysname’

  EXEC sp_executesql @cmd, @parameters, @name = @name

 

正確防護之道

SQL Injection正確的解決方式為何呢? 下列兩者缺一不可!

  • 1. Parameterized Query
  • 2. Prepare Statement

程式範例

 String custname = request.getParameter("customerName"); // This should REALLY be validated too
 // perform input validation to detect attacks
 String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
 
 PreparedStatement pstmt = connection.prepareStatement( query );
 pstmt.setString( 1, custname); 
 ResultSet results = pstmt.executeQuery( );

後記

1. 筆者面試到目前為止還沒有人可以回答完整, 100% 有效防止 SQL injection 的防護方式為何?

2. 許多人回答, 不要使用 SQL, 用白名單輸入檢查, 編碼等方式, 避免動態組成 SQL 語句, 這些都是無法 100% 避免 SQL injection

3. 筆者也遇過使用 prepare statement 但是並沒有將輸入參數化

要正確有效的防止 SQL Injection, 就要靠:

  • Parameterized Query + Prepare Statement 兩者缺一不可
  • Parameterized Query + Prepare Statement 兩者缺一不可
  • Parameterized Query + Prepare Statement 兩者缺一不可

重要的事情要說三次

SQLi更多線上教學參考

Here is the Link:  https://www.guru99.com/learn-sql-injection-with-practical-example.html

by Alex Nordeen

參考

 

Leave a Reply

Your email address will not be published.