SQL注入保護を心配する場合

Question

小さな背景：私はこの会社の唯一のプログラマーです。私は既存のフレームワークで作業しています。

つまり、同社には「必要なすべてのデータベースのやりとりが含まれている」dll（Database.dll）があります。 inと同様にQuery()、Update()、Insert()などです。私が書いているプロジェクトでは、Database.dllへの参照が設定されています。私のプロジェクトでは、ユーザーの入力はゼロです。ユーザー入力に最も近いのは、ユーザーが日付を選択できるドロップダウンボックスです。 SQLインジェクションについてまだ心配する必要があるのであれば、それほど多くの経験はありません。もしそうなら、照会は

var query = string.Format("SELECT timestamp FROM table1 WHERE date = \"{0}\" 
          AND measured_dist = bit_loc AND rop > 0" , Date)) 

のように書かれていますか？すべてのクエリの実行は、既存のQuery()によって処理されることを覚えておいてください。これは、使用する必要があり、編集できないということです。

EDITは

このプログラムのWinFormアプリケーションです。

Answer 1

コメントに記載されているとおり、答えは「常に」です。 なので、にパラメータを追加して、正しく連結するのではなく、正しく行うことができます。ちょうど最初に実行してください。また、あなたが示したコードで注射だけが問題ではないと考えましたか？そのコードは、ローカリゼーション/国際化の影響を受けやすい。異なるカルチャーにPCを設定しているユーザーの場合はどうなりますか？日付と数字は別々にレンダリングされ、頻繁に壊れます。それはパラメータでは起こりません。また、名前にアポストロフィがあることがよくあります。

Answer 2

@ KirkWollの非常に有効なコメントを拡張すると、ユーザー入力（または自動化されたソースからの入力）をSQLステートメントに組み込むときはいつでも、プログラムをSQLインジェクションの危険にさらします。

このような入力を使用して独自のSQL文を作成することは決して避けてください。

入力を常にサニタイズし、SQLインジェクションに対する最初の防衛線として常にパラメータ化されたクエリを使用します。

あなたが前にそれを見ていない場合は、XKCDに大きなイラストがあります

http://xkcd.com/327/

Answer 3

ユーザインタラクションがドロップダウンであっても、それが値を挿入するために、洗練された攻撃者のために可能ですそれは選択リストに含まれていません。だから、はい、あなたはまだSQLインジェクションに注意する必要があります。

Answer 4

SQLインジェクションのようなものがなくても、私は準備済みのステートメントを使います。それらは使いやすく、場合によってはデータベースがその文をキャッシュすることができ、次回の使用時にコンパイルする必要がありません。オラクルは、SQL Serverはそうしていると思いますが、MySQLの場合はわかりません。

内部のイントラネットプロジェクトであっても、準備されたステートメントを使用し、CSRFを防ぐためにナンスを使用するハッカーがいると常に仮定してください。

Answer 5

これはWinFormsプログラムであるため、データベースにアクセスする唯一の安全な方法は、パラメータを使用するストアドプロシージャを使用することです。次に、のみがそれらのSPにアクセスできるユーザーを作成します。それ以外は安全ではありません。

「攻撃」入力を持つ可能性のあるWebアプリケーションで使用する場合、パラメータを使用したクエリはセキュリティ対策として機能しますが、ローカルアプリケーションと一緒に使用すると失敗し、何も組み立てられずに書き換えられます。 SPセキュリティを提供しないと、あなたは失われます。