Предотвращение SQL-инъекций с использованием регулярных выражений

Question

Предотвращение SQL-инъекций с использованием регулярных выражений

Я знаю, что так неправильно защищать SQL-инъекцию таким образом (регулярное выражение), и я должен использовать параметризованные запросы, но на этот раз у меня особая ситуация. Я пишу программу генератора форм, и мне нужно написать сложный пользовательский элемент управления поиском, так что на этот раз у меня нет другого пути (я думаю)!

В любом случае я ищу регулярное выражение для проверки входных строк (на стороне сервера), есть ли какая-либо атака, как запросы на него или нет.

0

.net sql-server sql-injection

Источник

user517019 20 фев '11 в 07:59

2 ответа

Другие вопросы по тегам .net sql-server sql-injection

user181711 21 фев '11 в 08:40 2011-02-21 08:40 · Answer 1 · 2011-02-21 08:40

Я бы также сказал, чтобы сделать это правильно, используя параметризованную хранимую процедуру. Основная идея заключается в том, что вы устанавливаете все параметры в null, а затем пропускаете только те, по которым хотите искать. Ваше предложение WHERE выглядит следующим образом

WHERE (MyColumn1=@Param1 OR @Pram1 IS NULL)
AND (MyColumn2=@Param2 OR @Pram2 IS NULL)

Вот еще несколько деталей

http://weblogs.asp.net/rmclaws/archive/2004/02/18/75381.aspx

user563088 20 фев '11 в 08:36 2011-02-20 08:36 · Answer 2 · 2011-02-20 08:36

Это очень сложно, потому что регулярное выражение может использовать два подхода:

Принять только действительный SQL
Отклонить неверный SQL

Оба сложны. Я предполагаю, что #1 безопаснее, потому что вы отклоняете все, кроме допустимого SQL, но будет довольно сложно предотвратить неверный SQL в допустимом SQL, не ограничивая слишком много возможностей.

В конце концов вы обнаружите, что использование параметров намного безопаснее, поскольку, пока вы не выполняете переданные строки, опасность внедрения SQL-кода отсутствует.