sikkerhed mod hackere

SQL injection undgår du ved at bruge Parameters i dine SQL XxxxCommand's

MS har udgivet en gratis bog om at bygge sikre ASP.NET applikationer:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=055FF772-97FE-41B8-A58C-BF9C6593F25E

Bogen ser spændende ud, men skyder nok også en del over mål i forhold til hvad jeg har brug for. Men skal da læses.

Hvordan bruger jeg parametre i min sql ?
Handler det om også at bruge stored procedures?

Nej du kan også bruge det til helt almindelige SQL SELECT og INSERT.

Vil du have et C# eller VB.NET eksempel ?

Der er eksempel her:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfSystemDataOleDbOleDbCommandClassPrepareTopic.asp

Er C# SQLServer INSERT eksempel:

        SqlCommand ins = new SqlCommand("INSERT INTO imgtest VALUES(@id,@img)", con);
        ins.Parameters.Add("@id", SqlDbType.Int);
        ins.Parameters.Add("@img", SqlDbType.Image);
        ins.Parameters["@id"].Value = 1;
        ins.Parameters["@img"].Value = imgdata;
        ins.ExecuteNonQuery();

Ok, hvad er det lige de parametre gør?

Skal der f.eks. være 2 linjer for hver værdi jeg sætter ind? så bliver det jo helt uoverskueligt, og jeg vil jo egentlig gerne gøre sådan;

SqlCommand ins = new SqlCommand( sqlStreng, con);

Kan det lade sig gøre?

Der findes en lang række websteder, der giver dig mulighed for at prøve at webhacke. Disse tjenester er gode til at lære dig hvad du skal tage højte for. se f.eks.

http://www.try2hack.nl/
http://www.hackthissite.org/
http://www.hackergames.net

Der er masser af den slags sites

Det fungerer ved at du i din SQL streng sætter plads af til dine parametre,
definerer parameternes typer og så indsætter værdier.

Pointen er at det håndterer alle problemer med single quotes i data, hvad enten
det er O'Toole der er uheldig eller en ondsindet hacker.

Du kan sagtens bruge en sqlStreng variabel. Men parameterne skal stadigvæk tilføjes.

Det betyder vel så at jeg ikke kan bruge den samme metode til flere forskellige indsættelser i databasen ... ?

Jo.

Dem her udføres kun en gang:

        SqlCommand ins = new SqlCommand("INSERT INTO imgtest VALUES(@id,@img)", con);
        ins.Parameters.Add("@id", SqlDbType.Int);
        ins.Parameters.Add("@img", SqlDbType.Image);

Dem her udføres for hver indsættelse:

        ins.Parameters["@id"].Value = i;
        ins.Parameters["@img"].Value = imgdata;
        ins.ExecuteNonQuery();

En metode der bare tager en sqlstreng som input og smider det i databasen uanset hvor mange felter den berører er ikke mulig?

Du kan sagtens undlade at bruge parametre og bare have en SQL streng uden videre.

Men så skal du selv gøre noget for at undgå problemer med single quotes
i input.

Hvadenten det er O'Toole eller en hacker som forsøger SQL injection.

og et svar fra mig

hvis nu jeg vil lave det med alm sql strenge, hvordan replacer jeg så "hacker '" og ikke O'toole ?

Du erstatter en enkelt ' med to altså ''.

sqlstr.Replace("'","''")

Men hvis I er sikkerheds fokuserede og har en skrap tech lead, så får du
den ikke gennem code review.

Hvis du sidder med en komplet SQL streng som f.eks:

SELECT * FROM table WHERE column1 = 'O'toole'

vil det ikke virke blot at escape, du bliver nødt til at evaluere hver parameter for sig selv.

Ja det var noget vrøvl.

Det skal være:

sqlstr = "SELECT * FROM table WHERE column1 = '" + navn.Replace("'","''") + "'";

Tak for hjælpen alle sammen :o)