Экранирование SQL инъекций / Delphi

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Delphi [игнор отключен] [закрыт для гостей] / Экранирование SQL инъекций

20 сообщений из 20, страница 1 из 1

Экранирование SQL инъекций

#40110746

hlopotun

Гость

Всем доброго дня,

надо проверить и вернуть если надо исправленную строку наподобии как это делает ParamByName при вставке значения в запрос.
Есть что то в дельфях готовое для этого?

п.с. обнаружил в чужом коде что строку для запроса формируют через простое сложение строк и параметров. Поскольку там используют свой велосипед штатными средствами не поправить, надо хотябы экранировать параметры.

Спасибо.

...

Рейтинг:

0 / 0

10.11.2021, 15:33

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110748

WildSery

Участник

Откуда: да, оттуда.

Сообщения: 19 151

Рейтинг: 0 / 0

hlopotun,

Параметры экранировать никогда не требовалось.
Непонятно.

...

Рейтинг:

0 / 0

10.11.2021, 15:38

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110753

hlopotun

Гость

WildSery

hlopotun,

Параметры экранировать никогда не требовалось.
Непонятно.

потому что это делает фреймворк при вставке значения через ParamByName, а в данном случае просто складывают строки

...

Рейтинг:

0 / 0

10.11.2021, 15:46

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110755

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

hlopotunЕсть что то в дельфях готовое для этого?

RTFM AnsiQuoteString.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

10.11.2021, 15:46

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110759

WildSery

Участник

Откуда: да, оттуда.

Сообщения: 19 151

Рейтинг: 0 / 0

hlopotun

потому что это делает фреймворк при вставке значения через ParamByName, а в данном случае просто складывают строки

Какой фреймворк и зачем он это делает?
В параметр я любую фигню, хоть бинарные данные, могу спокойно заливать, к самому запросу эти данные вообще никакого отношения не имеют.

ЗЫ. А об экранировании уже ответил Дмитрий.

...

Рейтинг:

0 / 0

10.11.2021, 15:49

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110786

hlopotun

Гость

Dimitry Sibiryakov

hlopotunЕсть что то в дельфях готовое для этого?

RTFM AnsiQuoteString.

QuotedStr я уже там воткнул ранее, но всегда считал что это только защита от управляющих символов а не от самой инъекции (т.к. они бывают разные)

...

Рейтинг:

0 / 0

10.11.2021, 16:16

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110828

hlopotun

Гость

hlopotun,

только сейчас заметил что не в тото форум запостил.
Можно попросить админа перенести в Delphi?

...

Рейтинг:

0 / 0

10.11.2021, 18:07

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110830

YuRock

Участник

Откуда: Донецк

Сообщения: 5 183

Рейтинг: 0 / 0

hlopotun

обнаружил в чужом коде что строку для запроса формируют через простое сложение строк и параметров

Такое выбрасывать надо сразу, как только увидел, а не пытаться скопировать/улучшить.

...

Рейтинг:

0 / 0

10.11.2021, 18:10

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40110831

pastor

Участник

Откуда: Калуга

Сообщения: 1 274

Рейтинг: 0 / 0

hlopotun,

вот так резали, если не получалось передавать в параметрах

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.

	<xsl:template match="/">
		<xsl:variable name="unallowed1">&apos;</xsl:variable>
		<xsl:variable name="unallowed2">(</xsl:variable>
		<xsl:variable name="unallowed3">||</xsl:variable>
		<xsl:variable name="unallowed4">;</xsl:variable>
		<xsl:variable name="unallowed5">"</xsl:variable>
		<xsl:variable name="unallowed6">{</xsl:variable>
        <xsl:choose>
           <xsl:when test="//*[contains(/*,$unallowed1)] or //*[contains(/*,$unallowed2)] or //*[contains(/*,$unallowed3)] or //*[contains(/*,$unallowed4)] or //*[contains(/*,$unallowed5)] or //*[contains(/*,$unallowed6)]">
                <xsl:message terminate="yes">
                   <xsl:text>contain unallowed symbol</xsl:text>
                </xsl:message>
           </xsl:when>
      	   <xsl:otherwise>
				     <xsl:apply-templates/>
		     </xsl:otherwise>
          </xsl:choose>
	</xsl:template>

Модератор: Тема перенесена из форума "Firebird, InterBase".

...

Рейтинг:

0 / 0

10.11.2021, 18:13

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111038

hlopotun

Гость

Модератор,
спасибо

...

Рейтинг:

0 / 0

11.11.2021, 15:15

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111055

_Vasilisk_

Участник

Откуда: Украина, Харьков

Сообщения: 13 612

Рейтинг: 0 / 0

hlopotun

наподобии как это делает ParamByName при вставке значения в запрос.

ParamByName ничего не экранирует, потому что у всех СУБД есть АПИ для параметризированных запросов

hlopotun

обнаружил в чужом коде что строку для запроса формируют через простое сложение строк и параметров. Поскольку там используют свой велосипед штатными средствами не поправить, надо хотябы экранировать параметры.

Неправильное решение. Правильное - нужно формировать параметризированный запрос и уже в него заливать параметры.

Т.е. вместо

Код: pascal

1.
2.

Query1.SQL.Text := 'SELECT * FROM mytable int_fld = ' +
  IntToStr(valInt) + ' AND str_fld = ''' + valStr + '''';

нужно писать так

Код: pascal

1.
2.
3.

Query1.SQL.Text := 'SELECT * FROM mytable int_fld = :p1 AND str_fld = :p2';
Query1.ParamByName('p1').AsInteger := valInt;
Query1.ParamByName('p2').AsString := valStr;

...

Рейтинг:

0 / 0

11.11.2021, 15:58

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111060

Dimitry Sibiryakov

Участник

Сообщения: 54 521

Рейтинг: 0 / 0

_Vasilisk_ParamByName ничего не экранирует

Это у вменяемых компонент он ничего не экранирует, а в данном случае явно назван
древний фреймворк, сделанный рукожопом, где функция с названием ParamByName
может творить любую дичь.

_Vasilisk_Правильное - нужно формировать параметризированный запрос
Но это же пришлось бы исправлять чужой код. Топикстартер так не может, его
предел - заборчик из костылей вокруг чужих багов.
Posted via ActualForum NNTP Server 1.5

...

Рейтинг:

0 / 0

11.11.2021, 16:10

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111064

didgik

Участник

Сообщения: 983

Рейтинг: 0 / 0

_Vasilisk_

Т.е. вместо

Код: pascal

1.
2.

Query1.SQL.Text := 'SELECT * FROM mytable int_fld = ' +
  IntToStr(valInt) + ' AND str_fld = ''' + valStr + '''';

нужно писать так

Код: pascal

1.
2.
3.

Query1.SQL.Text := 'SELECT * FROM mytable int_fld = :p1 AND str_fld = :p2';
Query1.ParamByName('p1').AsInteger := valInt;
Query1.ParamByName('p2').AsString := valStr;

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

...

Рейтинг:

0 / 0

11.11.2021, 16:23

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111074

_Vasilisk_

Участник

Откуда: Украина, Харьков

Сообщения: 13 612

Рейтинг: 0 / 0

Dimitry Sibiryakov

где функция с названием ParamByName может творить любую дичь.

Ну тогда ТСу ничего не стоит посмотреть на исходник этой дичи

didgik

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

А какие были еще варианты? У меня целый фреймворк есть, который формирует запросы на основании установленных свойств параметров. Что-то типа такого

Код: pascal

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.

procedure TMyParam.Prepare(ABuilder: TStringBuilder);
begin
  ABuilder.Append(FieldName).Append(' ');
  if IsNull then
    ABuilder.Append('IS NULL')
  else if IsRange then
    ABuilder.AppendFormat('BETWEEN :%s AND :%0:s_to', [FieldName])
  else if IsStr and (Pos('%', FromVal) > 0) then
    ABuilder.AppendFormat('LIKE :%s', [FieldName])
  else
    ABuilder.AppendFormat('= :%s', [FieldName]);
end;

procedure TMyParam.Fill(ADataSet: TMyDataSet);
begin
  if IsNull then
    Exit;
  ADataSet.ParamByName(FieldName).AsVariant := FromVal;
  if IsRange then begin 
    ADataSet.ParamByName(FieldName + '_to').AsVariant := ToVal;
end;

...

Рейтинг:

0 / 0

11.11.2021, 16:50

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111082

Fr0sT-Brutal

Гость

didgik

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

А в чем проблема? После сборки текста набор из If FindParam('bla') then Param['bla'].Value := ...

...

Рейтинг:

0 / 0

11.11.2021, 17:06

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111097

YuRock

Участник

Откуда: Донецк

Сообщения: 5 183

Рейтинг: 0 / 0

didgik

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

Вообще никакой разницы нет.
Сервер вообще не знает, динамический он или нет, для него все - динамические, потому и существует Prepare.

...

Рейтинг:

0 / 0

11.11.2021, 17:21

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111099

YuRock

Участник

Откуда: Донецк

Сообщения: 5 183

Рейтинг: 0 / 0

Fr0sT-Brutal

didgik

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

А в чем проблема? После сборки текста набор из If FindParam('bla') then Param['bla'].Value := ...

Чаще всего можно и без FindParam обойтись. По той же логике, по которой и SQL изменяется - по ней же и значения доп. параметров указываются.

...

Рейтинг:

0 / 0

11.11.2021, 17:22

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111113

L_argo

Участник

Сообщения: 1 497

Рейтинг: 0 / 0

hlopotun

И чо ? Большинство систем формируют строку динамически или из статической строки (которую вполне можно найти и подменить).

...

Рейтинг:

0 / 0

11.11.2021, 17:59

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111193

Gluck99

Участник

Откуда: Оттуда

Сообщения: 1 186

Рейтинг: 0 / 0

didgik

Всегда было интересно, как люди выкручиваются с параметрами, если запрос приходится собирать динамически.

Если TDataSet позволяет, использовать макросы (метод MacroByName).

Код: pascal

1.
2.
3.
4.
5.
6.
7.
8.
9.

Var
   QueryTable: string;
{...}
A := B;
MyQuery.SQL.Text := 'SELECT Name FROM %MyTable WHERE ID = :ID';
MyQuery.ParamByName('ID').Value := 1;
if A = B then QueryTable := 'Customers' else QueryTable := 'Producers';
MyQuery.MacroByName('MyTable') := QueryTable;
// Результат: SELECT Name FROM Customers WHERE ID = 1

...

Рейтинг:

0 / 0

12.11.2021, 01:44

| Ответить | Цитировать | Написать

Экранирование SQL инъекций

#40111226

Gluck99

Участник

Откуда: Оттуда

Сообщения: 1 186

Рейтинг: 0 / 0

.Value забыл.

Код: pascal

MyQuery.MacroByName('MyTable').Value := QueryTable;

...

Рейтинг:

0 / 0

12.11.2021, 10:32

| Ответить | Цитировать | Написать

20 сообщений из 20, страница 1 из 1

Форумы / Delphi [игнор отключен] [закрыт для гостей] / Экранирование SQL инъекций

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=58&fpage=8&tid=2036883]:	0ms
get settings:	9ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	30ms
get topic data:	12ms
get forum data:	3ms
get page messages:	55ms
get tp. blocked users:	2ms
others:	320ms

total:	454ms