স্কেল ইনজেকশনগুলি রোধ করতে পরামিতিগুলি কি সত্যই যথেষ্ট?

Question 1

আমি এসকিউএল কোয়েরিগুলিতে বিশেষত। নেট অ্যাপ্লিকেশনগুলিতে প্যারামিটারগুলি ব্যবহার করার সদর্থকতা সম্পর্কে আমার সহকর্মীদের এবং এখানে এসও তে উভয়কেই প্রচার করছি। এমনকি এসকিউএল ইঞ্জেকশন আক্রমণগুলির বিরুদ্ধে অনাক্রম্যতা প্রদান হিসাবে তাদের প্রতিশ্রুতি দেওয়ার জন্য আমি এতদূর গিয়েছিলাম।

তবে আমি ভাবতে শুরু করি সত্যই এটি সত্য কিনা। এমন কোনও এসকিউএল ইঞ্জেকশন আক্রমণ রয়েছে যা প্যারামিটারাইজড ক্যোয়ারির বিপরীতে সফল হবে? আপনি উদাহরণস্বরূপ এমন কোনও স্ট্রিং প্রেরণ করতে পারবেন যা সার্ভারে একটি বাফার ওভারফ্লোর কারণ?

কোনও ওয়েব অ্যাপ্লিকেশন নিরাপদ রয়েছে তা নিশ্চিত করার জন্য অবশ্যই অন্যান্য বিবেচনা রয়েছে (যেমন ব্যবহারকারীদের ইনপুট এবং সমস্ত জিনিস স্যানিটাইজ করা) তবে এখন আমি এসকিউএল ইঞ্জেকশনগুলির কথা ভাবছি। আমি বিশেষত এমএসএসকিউএল 2005 এবং 2008 এর বিরুদ্ধে আক্রমণে আগ্রহী কারণ সেগুলি আমার প্রাথমিক ডাটাবেস, তবে সমস্ত ডাটাবেস আকর্ষণীয় are

সম্পাদনা করুন: পরামিতি এবং প্যারামিটারাইজড কোয়েরি দ্বারা আমি কী বোঝাতে চাই তা স্পষ্ট করতে। প্যারামিটার ব্যবহার করে আমি বোঝাতে চাইছি একটি স্ট্রিং-এ স্ক্যুয়েল কোয়েরি তৈরির পরিবর্তে "ভেরিয়েবল" ব্যবহার করা।
সুতরাং এটি করার পরিবর্তে:

SELECT * FROM Table WHERE Name = 'a name'

আমরা এটি করি:

SELECT * FROM Table WHERE Name = @Name

এবং তারপরে ক্যোয়ারী / কমান্ড অবজেক্টে @ নাম প্যারামিটারের মান সেট করুন।

Question 2

স্থানধারীরা ইনজেকশন প্রতিরোধের জন্য যথেষ্ট। আপনি এখনও বাফার ওভারফ্লোগুলির জন্য উন্মুক্ত থাকতে পারেন তবে এটি কোনও এসকিউএল ইনজেকশন থেকে আক্রমণের সম্পূর্ণ ভিন্ন স্বাদ (আক্রমণ ভেক্টরটি এসকিউএল সিনট্যাক্স নয় তবে বাইনারি হবে)। যেহেতু পাস করা প্যারামিটারগুলি সমস্ত সঠিকভাবে পালানো হবে, তাই আক্রমণকারীদের ডেটা পাস করার কোনও উপায় নেই যা "লাইভ" এসকিউএল এর মতো আচরণ করা হবে।

আপনি স্থানধারীদের ভিতরে ফাংশন ব্যবহার করতে পারবেন না এবং আপনি স্থানধারক কলাম বা টেবিলের নাম হিসাবে ব্যবহার করতে পারবেন না, কারণ তারা পালিয়ে গেছে এবং স্ট্রিং লিটারাল হিসাবে উদ্ধৃত হয়েছে।

তবে, আপনি যদি আপনার গতিশীল ক্যোয়ারির অভ্যন্তরে স্ট্রিং কনটেনটেশনের অংশ হিসাবে প্যারামিটারগুলি ব্যবহার করেন তবে আপনি এখনও ইনজেকশনের ঝুঁকির মধ্যে রয়েছেন, কারণ আপনার স্ট্রিংগুলি এড়ানো যাবে না তবে আক্ষরিক হবে। পরামিতিগুলির জন্য অন্যান্য ধরণের ব্যবহার (যেমন পূর্ণসংখ্যা) নিরাপদ।

এটি বলেছে, আপনি যদি এমন কোনও কিছুর মান নির্ধারণ করতে ইনপুট ব্যবহার করেন security_levelতবে কেউ আপনার সিস্টেমে নিজেকে প্রশাসক হিসাবে তৈরি করতে পারে এবং বিনা মূল্যে বিনামূল্যে থাকতে পারে। তবে এটি কেবলমাত্র বেসিক ইনপুট বৈধতা, এবং এসকিউএল ইঞ্জেকশনটির সাথে কোনও সম্পর্ক নেই।

Question 3

না, এসকিউএল কোয়েরিতে আপনি যখনই অবৈধ ডেটা ইন্টারপোল্ট করবেন তখনও এসকিউএল ইঞ্জেকশনের ঝুঁকি রয়েছে।

অনুসন্ধানের পরামিতিগুলি এসকিউএল সিনট্যাক্স থেকে আক্ষরিক মানগুলি পৃথক করে এই ঝুঁকি এড়াতে সহায়তা করে।

'SELECT * FROM mytable WHERE colname = ?'

এটি ঠিক আছে, তবে ডায়নামিক এসকিউএল কোয়েরিতে ডেটা ইন্টারপোল্ট করার অন্যান্য উদ্দেশ্য রয়েছে যা কোয়েরি প্যারামিটারগুলি ব্যবহার করতে পারে না, কারণ এটি কোনও এসকিউএল মান নয়, পরিবর্তে একটি সারণীর নাম, কলামের নাম, অভিব্যক্তি বা অন্য কোনও বাক্য গঠন রয়েছে।

'SELECT * FROM ' + @tablename + ' WHERE colname IN (' + @comma_list + ')'
' ORDER BY ' + @colname'

আপনি সঞ্চিত পদ্ধতি ব্যবহার করছেন বা সরাসরি অ্যাপ্লিকেশন কোড থেকে ডায়নামিক এসকিউএল কোয়েরি কার্যকর করছেন কিনা তা বিবেচ্য নয়। ঝুঁকি এখনও আছে।

এই ক্ষেত্রে প্রতিকারগুলি হ'ল প্রয়োজন অনুসারে FIEO নিয়োগ করা :

ফিল্টার ইনপুট: বৈধ পূর্ণসংখ্যার, টেবিলের নামগুলি, কলামের নাম ইত্যাদির মতো ডেটা দেখতে হবে তা যাচাইয়ের আগে যাচাই করুন।
আউটপুট এড়িয়ে চলুন: এই ক্ষেত্রে "আউটপুট" মানে একটি এসকিউএল কোয়েরিতে ডেটা স্থাপন করা। একটি এসকিউএল এক্সপ্রেশনে স্ট্রিং লিটারাল হিসাবে ব্যবহৃত ভেরিয়েবলগুলি রূপান্তর করতে আমরা ফাংশন ব্যবহার করি, যাতে স্ট্রিংয়ের অভ্যন্তরের উদ্ধৃতি চিহ্ন এবং অন্যান্য বিশেষ অক্ষরগুলি পালিয়ে যায়। টেবিলের নাম, কলামের নাম ইত্যাদি হিসাবে ব্যবহৃত হবে এমন ভেরিয়েবলগুলি রূপান্তর করতে আমাদের ফাংশনগুলিও ব্যবহার করা উচিত, অন্যান্য বাক্য গঠন যেমন পুরো এসকিউএল এক্সপ্রেশনগুলি গতিশীলভাবে লেখার মতো, এটি আরও জটিল সমস্যা।

Question 4

"প্যারামিটারাইজড ক্যোয়ারী" এর সংজ্ঞা সম্পর্কে এই থ্রেডে কিছু বিভ্রান্তি রয়েছে বলে মনে হচ্ছে।

এসকিউএল যেমন কোনও সঞ্চিত সংগ্রহ যা পরামিতিগুলি গ্রহণ করে।
এসকিউএল যা DBMS পরামিতি সংগ্রহ ব্যবহার করে ডাকা হয়।

পূর্বের সংজ্ঞা দেওয়া, লিঙ্কগুলির মধ্যে অনেকগুলি কাজের আক্রমণ দেখায়।

তবে "স্বাভাবিক" সংজ্ঞাটি হ'ল পরেরটি। সেই সংজ্ঞাটি দিয়েছি, আমি কোনও এসকিউএল ইঞ্জেকশন আক্রমণ ব্যবহার করব না তা জানি না। এর অর্থ এই নয় যে একটি নেই, তবে আমার এখনও তা দেখা যায়নি।

মন্তব্যগুলি থেকে, আমি নিজেকে যথেষ্ট পরিষ্কারভাবে প্রকাশ করছি না, তাই এখানে একটি উদাহরণ যা আশাবাদী আরও পরিষ্কার হবে:

এই পদ্ধতিরটি এসকিউএল ইঞ্জেকশনের জন্য উন্মুক্ত

exec dbo.MyStoredProc 'DodgyText'

এই পদ্ধতিটি এসকিউএল ইঞ্জেকশনটির জন্য উন্মুক্ত নয়

using (SqlCommand cmd = new SqlCommand("dbo.MyStoredProc", testConnection))
{
    cmd.CommandType = CommandType.StoredProcedure;
    SqlParameter newParam = new SqlParameter(paramName, SqlDbType.Varchar);
    newParam.Value = "DodgyText";
    .....
    cmd.Parameters.Add(newParam);
    .....
    cmd.ExecuteNonQuery();
}

Question 5

ডায়ামিক ক্যোয়ারী তৈরি করতে ব্যবহৃত স্ট্রিং টাইপের (বর্ণের, এনভারচার, ইত্যাদি) কোনও স্ক্যুয়াল প্যারামিটার এখনও দুর্বল

অন্যথায় প্যারামিটার ধরণের রূপান্তর (উদাহরণস্বরূপ int, দশমিক, তারিখ, ইত্যাদি) প্যারামিটারের মাধ্যমে sql ইনজেক্ট করার কোনও প্রচেষ্টা বাদ দিতে হবে

সম্পাদনা: একটি উদাহরণ, যেখানে প্যারামিটার @ পি 1 একটি টেবিলের নাম হতে পারে

create procedure dbo.uspBeAfraidBeVeryAfraid ( @p1 varchar(64) ) 
AS
    SET NOCOUNT ON
    declare @sql varchar(512)
    set @sql = 'select * from ' + @p1
    exec(@sql)
GO

@ পি 1 যদি একটি ড্রপ-ডাউন তালিকা থেকে নির্বাচিত হয় তবে এটি সম্ভাব্য স্কয়ার-ইনজেকশন আক্রমণ ভেক্টর;

যদি @ পি 1 ব্যবহারকারীর হস্তক্ষেপের দক্ষতার সাথে প্রোগ্রামগতভাবে ডাব্লু / আউট তৈরি করা হয় তবে এটি কোনও সম্ভাব্য স্ক্যালো-ইনজেকশন আক্রমণ ভেক্টর নয়

Question 6

একটি বাফার ওভারফ্লো এসকিউএল ইঞ্জেকশন নয়।

প্যারামিট্রাইজড কোয়েরিগুলি গ্যারান্টি দেয় যে আপনি এসকিউএল ইঞ্জেকশনের বিরুদ্ধে নিরাপদ। তারা আপনার এসকিউএল সার্ভারে বাগ আকারে সম্ভাব্য শোষণের সম্ভাবনা নেই বলে গ্যারান্টি দেয় না, তবে কিছুই এর গ্যারান্টি দিবে না।

Question 7

আপনি কোনও উপায়ে আকার বা ফর্মে গতিশীল স্কয়ার ব্যবহার করলে আপনার ডেটা নিরাপদ নয় কারণ অনুমতিগুলি অবশ্যই টেবিল স্তরে থাকতে হবে। হ্যাঁ আপনি সেই নির্দিষ্ট ক্যোয়ারী থেকে ইনজেকশন আক্রমণের ধরণ এবং পরিমাণ সীমাবদ্ধ করে রেখেছেন তবে কোনও ব্যবহারকারী যদি সে সিস্টেমে কোনও উপায় খুঁজে পায় তবে তারা যে অ্যাক্সেস পেতে পারে তা সীমাবদ্ধ করে না এবং অভ্যন্তরীণ ব্যবহারকারীর কাছে যা করা উচিত নয় সেগুলি অ্যাক্সেস করার জন্য আপনি সম্পূর্ণরূপে সাবলীল জালিয়াতি করার বা ব্যক্তিগত তথ্য বিক্রয় করার জন্য চুরি করার আদেশ। যে কোনও ধরণের ডায়নামিক এসকিউএল একটি বিপজ্জনক অনুশীলন। আপনি যদি অ-ডায়নামিক স্টোরেড প্রোক ব্যবহার করেন তবে আপনি প্রক্রিয়া স্তর পর্যায়ে অনুমতি নির্ধারণ করতে পারবেন এবং প্রোস দ্বারা নির্ধারিত সংজ্ঞা ব্যতীত কোনও ব্যবহারকারী কিছুই করতে পারবেন না (অবশ্যই সিস্টেম প্রশাসক ব্যতীত)।

Question 8

ওভারফ্লো / ছাঁটাইয়ের মাধ্যমে কোনও সঞ্চিত প্রকট বিশেষ ধরণের এসকিউএল ইনজেকশনের পক্ষে ঝুঁকির মধ্যে ফেলা সম্ভব, দেখুন: ডেটা ট্র্যাঙ্কেশন দ্বারা ইনজেকশন সক্ষম করা হয়েছে এখানে:

http://msdn.microsoft.com/en-us/library/ms161953.aspx

Question 9

কেবল মনে রাখবেন যে প্যারামিটারগুলির সাহায্যে আপনি স্ট্রিং সহজেই সঞ্চয় করতে পারেন, বা আপনার কোনও নীতি না থাকলে ব্যবহারকারীর নাম বলতে পারেন, "); টেবিল ব্যবহারকারীদের ফেলে দিন; -"

এটি নিজেই কোনও ক্ষতির কারণ হবে না তবে আপনার অ্যাপ্লিকেশনে সেই তারিখটি কীভাবে এবং কীভাবে ব্যবহার করা হবে তা আপনি আরও ভাল জানেন (উদাহরণস্বরূপ একটি কুকিতে সঞ্চিত, অন্যান্য জিনিসগুলি করার পরে পুনরুদ্ধার করা হয়েছে)।

Question 10

উদাহরণস্বরূপ আপনি গতিশীল এসকিএল চালাতে পারেন

DECLARE @SQL NVARCHAR(4000);
DECLARE @ParameterDefinition NVARCHAR(4000);

SELECT  @ParameterDefinition = '@date varchar(10)'

SET @SQL='Select CAST(@date AS DATETIME) Date'

EXEC sp_executeSQL @SQL,@ParameterDefinition,@date='04/15/2011'