Prevenindo SQL Injection: ASP.NET

Ol� pessoal, neste artigo mostrarei como prevenir ataques de SQL Injection em aplica��es ASP.NET.

Acompanhem o passo-a-passo:

Conceito � A Inje��o de SQL, ou SQL Injection, � um tipo de amea�a s�ria de seguran�a, que se aproveita de falhas em sistemas (n�o � exclusivo pra web) que interagem com bases de dados via SQL. Dito isto, o SQL Injection ocorre quando o usu�rio mal intencionado consegue inserir uma s�rie de instru��es SQL dentro de uma consulta atrav�s da manipula��o das entradas de dados (altera��es em um textbox, por exemplo) de uma aplica��o. Fonte: Wikipedia.

Pr�tica � Feito uma breve explica��o do SQL Injection, vamos a um exemplo pr�tico. Crie uma aplica��o em ASP.NET com o nome ExemploSQLInjection. Neste exemplo, irei utilizar o banco Clientes, onde tenho as tabelas Registros e Usuarios:

V� ao modo Design e arraste um TextBox, um Button e um GridView, para que sua p�gina fique da seguinte forma:

D� o nome ao ID do bot�o de btnConsultar e ao Grid de dgvResultado.

Agora v� a p�gina de c�digos e crie o m�todo para o bot�o Consultar:

private void Consultar()

{

try

{

//Crio a vari�vel que ir� armazenar a string de conex�o

string strConn = @"Data Source=WELLINGT-45545B\SQLEXPRESS;Initial Catalog=Clientes;

Integrated Security=True;Pooling=False";

//Crio a conex�o por meio do using, que me garante que ap�s o uso, a conex�o ser� fechada

using (SqlConnection objConn = new SqlConnection(strConn))

{

//Passo a instru��o SQL por meio do SqlCommand e concateno

//meu Where com o que o usu�rio digitar no TextBox

SqlCommand objCmd = new SqlCommand("SELECT CODIGO, NOME FROM REGISTROS WHERE CODIGO = " +

txtConsultar.Text, objConn);

//Instancio o DataTable passando como par�metro o SqlCommand

SqlDataAdapter objDtAdapter = new SqlDataAdapter(objCmd);

//Instancio o DataSet

DataSet ds = new DataSet();

//Uso o m�todo Fill do DataAdapter, passando como par�metro o DataSet e minha Tabela

objDtAdapter.Fill(ds, "REGISTROS");

//Uso o m�todo DataSource de meu GridView, que receber� meu DataSet e chamo o DataBind

dgvResultado.DataSource = ds;

dgvResultado.DataBind();

}

catch (Exception ex)

{

throw new Exception(ex.Message.ToString());

}

Lembrando que o intuito deste artigo n�o � o de explicar a conex�o com o banco e sim o que torna vulner�vel uma aplica��o por meio de SQL Injection.

Volte ao modo Design, d� dois cliques no bot�o Consultar e chame o m�todo rec�m-criado. Salve e compile o projeto. Digite 01 no TextBox e veja:

O Grid � populado com os dados do Registro1. O problema � que, como ele busca o que for digitado no TextBox, se um usu�rio mal intencionado digitar a seguinte instru��o, olha o resultado:

Fazendo isso, consigo descobrir as senhas da tabela Usuarios pois da forma como est�, nossa consulta concatena tudo o que for digitado no TextBox.

Se quiser, podemos at� excluir tabelas dessa forma. Dito isso, podemos concluir que nossa instru��o SQL n�o foi feita da melhor forma, j� que est� vulner�vel a ataques.

Para resolver isso, devemos usar a consulta parametrizada. Como o pr�prio nome diz, com ela n�s criamos uma vari�vel que � representada por um par�metro, que ser� associado ao valor digitado no TextBox.

Para entendermos melhor, altere a instru��o e adicione a seguinte linha ap�s a instru��o:

//Passo a instru��o SQL por meio do SqlCommand e uso parametriza��o para evitar SQLInjection

SqlCommand objCmd = new SqlCommand("SELECT CODIGO, NOME FROM REGISTROS WHERE " +

"CODIGO = @CODIGO", objConn);

//Uso o m�todo AddWithValue, que recebe meu par�metro @Codigo e meu TextBox

objCmd.Parameters.AddWithValue("@CODIGO", txtConsultar.Text);

Como voc�s podem perceber, o que mudei apenas foi usar o @Codigo, e o m�todo AddWithValue, que recebe justamente esse par�metro junto com o que for digitado no TextBox. Dessa forma, estamos evitando vulnerabilidades em nossa aplica��o.

Compile novamente e tente digitar a instru��o que usamos para fazer um Select na tabela Usuarios:

Ao fazer isso e clicar no bot�o Consultar, ser� disparado um erro de falha de convers�o:

Dessa forma evitamos o uso de SQL Injection em nossa aplica��o. Por isso, � altamente recomendado sempre usar par�metros em instru��es SQL.

Assim finalizo o artigo.

Para quem se interessar, disponibilizo o c�digo fonte desse projeto aqui.

Fa�o este artigo com base na videoaula de Bruno Beliz�rio, do Portal Linha de C�digo, mediante autoriza��o do mesmo.

Quaisquer d�vidas mandem emails para wellingtonbalbo@gmail.com ou deixem nos coment�rios deste artigo que responderei o mais r�pido poss�vel.

At� o pr�ximo artigo!

Tecnologias:

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Wellington Em 2010

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso