xDSL.at

[max_payne]

Hallo!
Ich würde gerne die benutzereingabe in einem c# programm auf "böse" sql-befehle überprüfen.
bisher wären mir Folgende Sachen eingefallen:
"select"
"insert"
"update"
"delete"
"union"
"drop"
"alter"
"go"
"exec"
"cmdshell"

fällt noch wem was ein?

[hellbringer]

Wozu?

[max_payne]

was heißt wozu?

[hellbringer]

Naja, zu welchem Zweck? Einfach so?

[max_payne]

Naja, zu welchem Zweck? Einfach so?

im prinzip will ich sql injections abfangen

[hellbringer]

Dann würd ich einfach Escapen.

[max_payne]

gibts da ne gscheite funktion in c#?

[hellbringer]

Ich vermute mal, das macht das Ding schon selber von Haus aus. Zumindest würde ich die Dokumentation so deuten. Hab leider überhaupt keine Ahnung von c#, aber du kannst es ja mal ausprobieren (gib paar Hochkommas, Sonderzeichen, etc. in den String).

http://dev.mysql.com/doc/refman/5.0/en/connector-net-using-prepared.html
http://dev.mysql.com/doc/refman/5.0/en/connector-net-examples-mysqlcommand.html#connector-net-examples-mysqlcommand-parameters

[max_payne]

nein, aus "technischen" gründen kann ich keine paramter verwenden

[Elij4h]

damit du sql injects effizient verhinder kannst musst du erst mal sicher stellen das der userinput nicht mit nem escape(') beginnt. sql inserts beginnen typischerweise mit ' und enden mit -- (comment -> der rest wird so ignoriert)
z.B.:

Code: Alles auswählen

'; DELETE Bla;--

für strings mal:

ein schritt kann mal sein ' zu ersetzten. z.B. so:

Code: Alles auswählen

string cleaninput = input.Replace("'", "''");

oder aber auch mit regex prüfen dass nur buchstaben im input sein dürfen.

wenn du eine nummer eingeben lässt:

Code: Alles auswählen

Regex re = new Regex(@"\D");
Match m = re.Match(someTextBox.Text);
if (m.Success)
{
    // keine nummer

}
else
{
    int intValue = int.Parse(stringValue);

    if ((intValue < minValue) || (intValue > maxValue))
    {
        // nicht im erlaubten bereich

    }
}

und dann noch Parametrisierte SQL commands(wenn das in deiner app geht.).
z.B.:

Code: Alles auswählen

string cmdText = "SELECT * FROM irgendwas "+
    "WHERE Name=@Name";
SqlCommand cmd = new SqlCommand(cmdText, connection);
cmd.Parameters.Add("@Name", SqlDbType.VarChar, 80).Value = "blubb";

*hth*, lg Eli

//edit:
ahjo welches DBMS verwendest eigentlich? sql express oder was anderes?

[mbru]

wenn du es schon ordentlich machen willst, dann aber richtig mit prepared statements.

[Elij4h]

wenn du es schon ordentlich machen willst, dann aber richtig mit prepared statements.

jo... aber prepared statements machen nur typ überprüfung, in nen string kannst desswegen noch genauso injecten.

[max_payne]

ahjo welches DBMS verwendest eigentlich? sql express oder was anderes?

sqlexpress

parameter gehen in meinem fall nicht

[mbru]

wenn du es schon ordentlich machen willst, dann aber richtig mit prepared statements.

jo... aber prepared statements machen nur typ überprüfung, in nen string kannst desswegen noch genauso injecten.

Prepared statements verhindern SQL injection zu 100%. Nix vom "boesen" SQL code wird auch nur jemals ausgeführt wenn man konsequent prepared statements verwendet.

Klar kann SQL code dan in der Datenbank stehen, nur er tut nicht weh.
Abgesehen davon kann man USer input sowieso nie vertrauen.

Falls ich mich irre bitte ein Gegenbeispiel.

[Elij4h]

hmm jetzt wo ich nachdenk hast recht... wennst wieder mit prepared statements die daten aus der datenbank ausliest kann nix passieren hab mich aufs einfügen festgebissen