¿Cómo puedo crear una consulta SQL parametrizada? ¿Por Qué Debería?
He oído que "todo el mundo" está utilizando consultas SQL parametrizadas para proteger contra ataques de inyección SQL sin tener que vailidate cada pieza de entrada del usuario.
¿Cómo se hace esto? ¿Obtiene esto automáticamente cuando usa procedimientos almacenados?
Así que entiendo que esto no está parametrizado:
cmdText = String.Format("SELECT foo FROM bar WHERE baz = '{0}'", fuz)
Sería con parámetros?
cmdText = String.Format("EXEC foo_from_baz '{0}'", fuz)
O necesito hacer algo más extenso como esto para protegerme de SQL la inyección?
With command
.Parameters.Count = 1
.Parameters.Item(0).ParameterName = "@baz"
.Parameters.Item(0).Value = fuz
End With
¿Hay otras ventajas al usar consultas parametrizadas además de las consideraciones de seguridad?
Actualización: Este gran artículo fue enlazado en una de las preguntas referencias de Grotok. http://www.sommarskog.se/dynamic_sql.html
6 answers
Su ejemplo EXEC NO será parametrizado. Necesita consultas parametrizadas (instrucciones preparadas en algunos círculos) para evitar que la entrada como esta cause daño:
'; Barra de TABLA de CAÍDA; {
Intente poner eso en su variable fuz (o no, si valora su tabla de barras). También son posibles consultas más sutiles y dañinas.
Aquí hay un ejemplo de cómo hacer parámetros con Sql Server:
Public Function GetBarFooByBaz(ByVal Baz As String) As String
Dim sql As String = "SELECT foo FROM bar WHERE baz= @Baz"
Using cn As New SqlConnection("Your connection string here"), _
cmd As New SqlCommand(sql, cn)
cmd.Parameters.Add("@Baz", SqlDbType.VarChar, 50).Value = Baz
Return cmd.ExecuteScalar().ToString()
End Using
End Function
Los procedimientos almacenados a veces se acreditan con prevención de la inyección SQL. Sin embargo, la mayoría de las veces todavía tiene que llamarlos usando parámetros de consulta o no ayudan. Si utiliza procedimientos almacenados exclusivamente , entonces puede desactivar los permisos para SELECCIONAR, ACTUALIZAR, ALTERAR, CREAR, ELIMINAR, etc. (casi todo menos EXEC) para la cuenta de usuario de la aplicación y obtener cierta protección de esa manera.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2017-07-06 12:54:53
Definitivamente el último, es decir,
O necesito hacer algo más extenso ...? (Sí,
cmd.Parameters.Add())
Las consultas parametrizadas tienen dos ventajas principales:
- Seguridad: Es una buena manera de evitar Inyección SQL vulnerabilidades
- Rendimiento: Si invoca regularmente la misma consulta solo con diferentes parámetros, una consulta parametrizada podría permitir que la base de datos almacene sus consultas en caché, lo que es una fuente considerable de rendimiento ganar.
- Extra: No tendrá que preocuparse por los problemas de formato de fecha y hora en el código de su base de datos. Del mismo modo, si su código alguna vez se ejecutará en máquinas con una configuración regional no inglesa, no tendrá problemas con los puntos decimales / comas decimales.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2018-06-25 08:56:13
Quieres ir con tu último ejemplo ya que este es el único que está verdaderamente parametrizado. Además de las preocupaciones de seguridad (que son mucho más frecuentes de lo que podría pensar) es mejor dejar ADO.NET maneje la parametrización ya que no puede estar seguro de si el valor que está pasando requiere comillas simples a su alrededor o no sin inspeccionar el Type de cada parámetro.
[Editar] Aquí hay un ejemplo:
SqlCommand command = new SqlCommand(
"select foo from bar where baz = @baz",
yourSqlConnection
);
SqlParameter parameter = new SqlParameter();
parameter.ParameterName = "@baz";
parameter.Value = "xyz";
command.Parameters.Add(parameter);
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2009-02-12 17:58:37
La mayoría de la gente haría esto a través de una biblioteca de lenguaje de programación del lado del servidor, como PDO de PHP o Perl DBI.
Por ejemplo, en la DOP:
$dbh=pdo_connect(); //you need a connection function, returns a pdo db connection
$sql='insert into squip values(null,?,?)';
$statement=$dbh->prepare($sql);
$data=array('my user supplied data','more stuff');
$statement->execute($data);
if($statement->rowCount()==1){/*it worked*/}
Esto se encarga de escapar sus datos para la inserción de la base de datos.
Una ventaja es que puede repetir una inserción muchas veces con una declaración preparada, ganando una ventaja de velocidad.
Por ejemplo, en la consulta anterior podría preparar la instrucción una vez, y luego recorrer la creación de la matriz de datos a partir de un montón de datos y repita el comando - > ejecutar tantas veces como sea necesario.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2013-02-03 23:47:32
El texto del comando debe ser como:
cmdText = "SELECT foo FROM bar WHERE baz = ?"
cmdText = "EXEC foo_from_baz ?"
Luego agregue valores de parámetro. De esta manera se asegura que el valor con solo se use como un valor, mientras que con el otro método si la variable fuz se establece en
"x'; delete from foo where 'a' = 'a"
¿Puedes ver lo que podría suceder?
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2009-02-12 17:56:05
Aquí hay una clase corta para comenzar con SQL y puede construir desde allí y agregar a la clase.
MySQL
Public Class mysql
'Connection string for mysql
Public SQLSource As String = "Server=123.456.789.123;userid=someuser;password=somesecurepassword;database=somedefaultdatabase;"
'database connection classes
Private DBcon As New MySqlConnection
Private SQLcmd As MySqlCommand
Public DBDA As New MySqlDataAdapter
Public DBDT As New DataTable
Public BindSource As New BindingSource
' parameters
Public Params As New List(Of MySqlParameter)
' some stats
Public RecordCount As Integer
Public Exception As String
Function ExecScalar(SQLQuery As String) As Long
Dim theID As Long
DBcon.ConnectionString = SQLSource
Try
DBcon.Open()
SQLcmd = New MySqlCommand(SQLQuery, DBcon)
'loads params into the query
Params.ForEach(Sub(p) SQLcmd.Parameters.AddWithValue(p.ParameterName, p.Value))
'or like this is also good
'For Each p As MySqlParameter In Params
' SQLcmd.Parameters.AddWithValue(p.ParameterName, p.Value)
' Next
' clears params
Params.Clear()
'return the Id of the last insert or result of other query
theID = Convert.ToInt32(SQLcmd.ExecuteScalar())
DBcon.Close()
Catch ex As MySqlException
Exception = ex.Message
theID = -1
Finally
DBcon.Dispose()
End Try
ExecScalar = theID
End Function
Sub ExecQuery(SQLQuery As String)
DBcon.ConnectionString = SQLSource
Try
DBcon.Open()
SQLcmd = New MySqlCommand(SQLQuery, DBcon)
'loads params into the query
Params.ForEach(Sub(p) SQLcmd.Parameters.AddWithValue(p.ParameterName, p.Value))
'or like this is also good
'For Each p As MySqlParameter In Params
' SQLcmd.Parameters.AddWithValue(p.ParameterName, p.Value)
' Next
' clears params
Params.Clear()
DBDA.SelectCommand = SQLcmd
DBDA.Update(DBDT)
DBDA.Fill(DBDT)
BindSource.DataSource = DBDT ' DBDT will contain your database table with your records
DBcon.Close()
Catch ex As MySqlException
Exception = ex.Message
Finally
DBcon.Dispose()
End Try
End Sub
' add parameters to the list
Public Sub AddParam(Name As String, Value As Object)
Dim NewParam As New MySqlParameter(Name, Value)
Params.Add(NewParam)
End Sub
End Class
MS SQL / Express
Public Class MSSQLDB
' CREATE YOUR DB CONNECTION
'Change the datasource
Public SQLSource As String = "Data Source=someserver\sqlexpress;Integrated Security=True"
Private DBCon As New SqlConnection(SQLSource)
' PREPARE DB COMMAND
Private DBCmd As SqlCommand
' DB DATA
Public DBDA As SqlDataAdapter
Public DBDT As DataTable
' QUERY PARAMETERS
Public Params As New List(Of SqlParameter)
' QUERY STATISTICS
Public RecordCount As Integer
Public Exception As String
Public Sub ExecQuery(Query As String, Optional ByVal RunScalar As Boolean = False, Optional ByRef NewID As Long = -1)
' RESET QUERY STATS
RecordCount = 0
Exception = ""
Dim RunScalar As Boolean = False
Try
' OPEN A CONNECTION
DBCon.Open()
' CREATE DB COMMAND
DBCmd = New SqlCommand(Query, DBCon)
' LOAD PARAMS INTO DB COMMAND
Params.ForEach(Sub(p) DBCmd.Parameters.Add(p))
' CLEAR PARAMS LIST
Params.Clear()
' EXECUTE COMMAND & FILL DATATABLE
If RunScalar = True Then
NewID = DBCmd.ExecuteScalar()
End If
DBDT = New DataTable
DBDA = New SqlDataAdapter(DBCmd)
RecordCount = DBDA.Fill(DBDT)
Catch ex As Exception
Exception = ex.Message
End Try
' CLOSE YOUR CONNECTION
If DBCon.State = ConnectionState.Open Then DBCon.Close()
End Sub
' INCLUDE QUERY & COMMAND PARAMETERS
Public Sub AddParam(Name As String, Value As Object)
Dim NewParam As New SqlParameter(Name, Value)
Params.Add(NewParam)
End Sub
End Class
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2018-05-27 03:28:57