sql injection

Question

como saber se meu software est� vulner�vel a sql injection? como testar isso?se minhas consultas s�o feitas apenas em campos do tipo string, isolados por aspas, tem algum perigo?Grato!...

Michael · Answer

Ol�!SQL Injection s� � problema se vc concatenar comandos SQL com strings vindas de algum componente ou controle que o usu�rio possa editar, como um Edit, por exemplo.Se vc trata os dados antes de repass�-los ao banco, n�o h� problema algum.[]�s...

Massuda · Answer

Geralmente o perigo � pegar diretamente algo que o usu�rio digita e montar uma SQL concatenando o que o usu�rio digitou com coisas v�lidas. O exemplo (reproduzido [url=http://msdn.microsoft.com/msdnmag/issues/04/09/sqlinjection/default.aspx]deste artigo[/url]) � uma tela de login que pede nome de usu�rio e senha; vamos imaginar que voc� est� usando os valores de dois Edits na tela de login para montar uma SQL assim...

var
  SQL: string;
...
  SQL := �SELECT Count(*) FROM Users WHERE UserName="� +
    EditUsername.Text + �" AND Password="� + 
    EditPassword.Text + �"�;

...se o usu�rio e senha for v�lido, essa SQL retorna 1 sen�o ela retorna 0. Vamos supor que voc� considere o login OK se a SQL n�o retornar zero.

O problema de SQL injection acontece quando algu�m informa este nome de usu�rio...

" or 1=1 --

...que faz sua SQL virar...

SELECT Count(*) FROM Users WHERE UserName="" or 1=1 --" AND Password=""

...dependendo do seu banco de dados, tudo que vir depois de �--� ser� considerado coment�rio, sendo ignorado. D� para perceber que essa SQL injetada ir� sempre retornar um n�mero maior que zero desde que a tabela n�o esteja vazia. Pronto! Sem fazer muito esfor�o, alguem conseguiu fazer login no seu sistema sem ser cadastrado. Note que as strings informadas pelo usu�rio est�o todas isoladas por aspas.

Para evitar isso voc� pode analisar o que o usu�rio digitou nos edits (por exemplo, poderia aceitar apenas letras e n�meros no edits) ou mudar seu teste para evitar o problema.

Mais exemplos no artigo (em ingl�s) que citei no in�cio.

Michael · Answer

Em geral, se vc usar par�metros nos comandos SQL, e passar os dados via TFields, o Delphi ir� colocar �� no final do valor, mesmo que tenha outras �� no meio. Isso elimina o problema.

[]�s

Massuda · Answer

[quote:a629e4f579=�Michael�]se vc usar par�metros nos comandos SQL, e passar os dados via TFields, o Delphi ir� colocar �� no final do valor, mesmo que tenha outras �� no meio. Isso elimina o problema.[/quote:a629e4f579]Sim, eventuais aspas no valor ser�o �escapadas�. Mas infelizmente, nem todo mundo usa SQL parametrizada, � comum ver c�digo que monta SQL como no exemplo que passei....

Vitor Rubio · Answer

se na hora de concaternar as strings pra fazer uma query, ao inv�s de eu concatenar assim:

var 
  SQL: string; 
... 
  SQL := �SELECT Count(*) FROM Users WHERE UserName="� + 
    EditUsername.Text + �" AND Password="� + 
    EditPassword.Text + �"�;

eu usar a fun��o quotedstr, asssim:

var 
  SQL: string; 
... 
  SQL := �SELECT Count(*) FROM Users WHERE UserName= 
    quotedstr(EditUsername.Text) + � AND Password= � + 
    quotedstr(EditPassword.Text);

se eu fizer desse jeito, eu evito a sql injection?

Massuda · Answer

QuotedStr evita o problema porque �escapa� as aspas contidas na string....