Forhindre SQL Batch injection i et SQL-vindue

Jeg kan kun se en metode: definer en grammatik for SQL og lav ene parser som returnerer de enkelte saetninger.

Og det bliver hurtigt lidt omfattende.

Hvis du fortaeller hvilket programmerings sprog saa kan jeg maaske vejlede lidt om det.

Hej Arne.

Sproget er Delphi og jeg nåede selv frem til samme konklusion, at en parser var at overdrive. Det jeg håbede var, at SQL-serveren kunne det for mig. Umiddelbart synes jeg sådan en funktion ville være smart. Syntaksændringer og tilføjelser ville blive understøttet ved kilden. Det er der umiddelbart ikke.

Spørgsmålet tog udgangspunkt i en SQL-dialog i et program, hvor (super)brugeren kunne teste prægenerede scripts af. Der blev tjekket, at det første kommando var select, men bagefter kunne man placere "drop tables" og hvad ved jeg. Selvom man bare "åbnede" scriptet blev de efterfølgende kommandoer udført. En sikkerhedsbrist der heldigvis kun var åben for administratorer.

Jeg har løst det ved at skrivebeskytte scriptet og have en parameterliste som brugeren kan rette. Det er vist også den rette måde.

Selvom du manglede informationer til et reelt svar, vil jeg gerne give dig points for dine mange bidrag til fora.

Hvis det kun er meningen at det skal bruges til SELECT, saa var det nemmeste vel at connecte til databasen med en konto som kun havde SELECT priv).

Ja, det er kun selects, så ideen er god - og også den rigtige. Jeg overvejede det kort, men programmet bruger normalt kun denne ene konto (som tillader SQL-kommandoer, for at kunne vedligeholde basen via opdateringer; tror ikke den må oprette ny ad-hoc konti).  Det vil være et problem at skulle forbi ca. 100 kunders it-afdelinger og overtale dem til at lave os endnu en konto - ikke at de ville stille sig i vejen, det vil bare tage lang tid.