WHERE句で注射を防ぐWebサービスを正しく作成する方法

Question

この質問を投稿する場所はわかりませんが、回答のセキュリティが心配です。

データセットを確実に返すWebサービスを実行しており、返されたレコードのリストボックスをリストボックスにドロップダウンできるようになりました。

DDLからユーザーの選択を取得し、別のWebサービスを呼び出して選択に関する詳細情報を返したいとします。したがって、WebサービスのクエリでWHERE stmt。私はもちろんSQLインジェクションについて心配しています。しかし、少なくとも私はSQL stmtを動作させることをお勧めします。

選択は

<WebMethod()> Public Function getDBrecords(ByVal FileName As String) As DataSet 
    Return GetDataSet("SELECT ID, ptMaster_ID, StrName, LngText, ShrtText, Lcode, Name, FROM tblMstStrng WHERE FileName = """ & FileName & """; ") 
End Function 

ありません運、それはSOAPエラーで私のアプリがクラッシュし、文字列フィールド型で、次のようになります。

"サーバーに自動的に入ることができません。サーバーのプロセスに接続できませんでした.dbuggerは既に接続されています。

そして、私はWHERE句でクエリを削除する場合、私はそのメッセージボックスをオフにした後....

System.Web.Services.Protocols.SoapException was unhandled 
    Actor="" 
    Lang="" 
    Message="System.Web.Services.Protocols.SoapException: Server was unable to process request. ---> System.Data.SqlClient.SqlException: Invalid column name 'DD_EBSKW20_380_db.pts'. at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection) at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection) at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj) at System.Data.SqlClient.TdsParser.Run(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj) at System.Data.SqlClient.SqlDataReader.ConsumeMetaData() at System.Data.SqlClient.SqlDataReader.get_MetaData() at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString) at System.Data.SqlClient.SqlCommand.RunExecuteReaderTds(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, Boolean async) at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method, DbAsyncResult result) at System.Data.SqlClient.SqlCommand.RunExecuteReader(CommandBehavior cmdBehavior, RunBehavior runBehavior, Boolean returnStream, String method) at System.Data.SqlClient.SqlCommand.ExecuteReader(CommandBehavior behavior, String method) at System.Data.SqlClient.SqlCommand.ExecuteDbDataReader(CommandBehavior behavior) at System.Data.Common.DbCommand.System.Data.IDbCommand.ExecuteReader(CommandBehavior behavior) at System.Data.Common.DbDataAdapter.FillInternal(DataSet dataset, DataTable[] datatables, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) at System.Data.Common.DbDataAdapter.Fill(DataSet dataSet, Int32 startRecord, Int32 maxRecords, String srcTable, IDbCommand command, CommandBehavior behavior) at System.Data.Common.DbDataAdapter.Fill(DataSet dataSet) at stringInfo.GetDataSet(String strSQL) in C:\Visual Studio 2008\WebSites\WebSite2\App_Code\stringInfo.vb:line 32 at stringInfo.getDBrecords(String dbName) in C:\Visual Studio 2008\WebSites\WebSite2\App_Code\stringInfo.vb:line 74 --- End of inner exception stack trace ---" 
    Node="" 
    Role="" 
    Source="System.Web.Services" 
    StackTrace: 
     at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall) 
     at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) 
     at MultiLangWeb.localhost.stringInfo.getDBrecords(String dbName) in C:\Visual Studio 2008\Projects\MultiLangWeb\MultiLangWeb\Web References\localhost\Reference.vb:line 118 
     at MultiLangWeb.Main.Button6_Click(Object sender, EventArgs e) in C:\Visual Studio 2008\Projects\MultiLangWeb\MultiLangWeb\Main.Designer.vb:line 388 
     at System.Windows.Forms.Control.OnClick(EventArgs e) 
     at System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent) 
     at System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks) 
     at System.Windows.Forms.Control.WndProc(Message& m) 
     at System.Windows.Forms.ButtonBase.WndProc(Message& m) 
     at System.Windows.Forms.Button.WndProc(Message& m) 
     at System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m) 
     at System.Windows.Forms.NativeWindow.DebuggableCallback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam) 
     at System.Windows.Forms.UnsafeNativeMethods.DispatchMessageW(MSG& msg) 
     at System.Windows.Forms.Application.ComponentManager.System.Windows.Forms.UnsafeNativeMethods.IMsoComponentManager.FPushMessageLoop(Int32 dwComponentID, Int32 reason, Int32 pvLoopData) 
     at System.Windows.Forms.Application.ThreadContext.RunMessageLoopInner(Int32 reason, ApplicationContext context) 
     at System.Windows.Forms.Application.ThreadContext.RunMessageLoop(Int32 reason, ApplicationContext context) 
     at Microsoft.VisualBasic.ApplicationServices.WindowsFormsApplicationBase.OnRun() 
     at Microsoft.VisualBasic.ApplicationServices.WindowsFormsApplicationBase.DoApplicationModel() 
     at Microsoft.VisualBasic.ApplicationServices.WindowsFormsApplicationBase.Run(String[] commandLine) 
     at MultiLangWeb.My.MyApplication.Main(String[] Args) in 17d14f5c-a337-4978-8281-53493378c1071.vb:line 81 
     at System.AppDomain._nExecuteAssembly(Assembly assembly, String[] args) 
     at Microsoft.VisualStudio.HostingProcess.HostProc.RunUsersAssembly() 
     at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state) 
     at System.Threading.ThreadHelper.ThreadStart() 
    InnerException: 

すべてが他のWebサービスのために働きます。

Answer 1

まず第一に、問題はWebサービスとは関係なく、サーバ上でプロファイラを実行して、どのコマンドがSQLサーバに正確に送られているかを確認してみませんか？

もう1つはクエリです。ストアドプロシージャを使用することをお勧めします。管理の容易さだけでなく、より重要なのはセキュリティのためです。

あなたがここにマイクロソフトのMSDNマガジンから華麗な記事を見つけることができます：http://msdn.microsoft.com/en-au/magazine/hh708755.aspx

Answer 2

最初の問題は、SQL Server QUOTED_IDENTIFIER設定がONあるので、それが二重に埋め込まれているので、それは列名としてファイル名を処理していることです - クォート。なぜあなたはこのexecptionを受けているされていることを

FileName = """ & FileName & """ 

を

FileName = "'" & FileName & "'" 

へ：

あなたは変更することでこの問題を解決することができ

Invalid column name 'DD_EBSKW20_380_db.pts' 

第二の問題は、これが完全であるということですSQLインジェクション攻撃に対応しています。呼び出されたメソッドを実行しているコマンドにパラメータを追加するか、パラメータとしてファイル名を指定してストアドプロシージャとしてSQLを実行するか、SQLインジェクションの可能性のある文字（つまり 'と; ）をあなたが提出する前に自分でファイル名から削除します。

Answer 3

実際の質問に関係しない他の問題を解決したら、入力をパラメータ化するだけで済みます。だからあなたのクエリのリテラルはなる：
"SELECT ID, ptMaster_ID, StrName, LngText, ShrtText, Lcode, Name, FROM tblMasterStringPTS WHERE FileName = @FileName"

私はあなたの実装があなたのデータセットを取得するためである正確にわからないんだけど、私はあなたがどこかでSqlCommandオブジェクトを持っていると仮定しています。パラメータを追加するには
command.Parameters.Add(New SqlParameter("@FileName", FileName))
は必要なものに非常に近いはずです。

そして、SQLインジェクションのリスクはありません。詳細情報については

、this MSDN link.