Может ли этот код сделать SQL-инъекцию невозможной?

-3

Этот код был найден в DNN PortalSecurity.cs. Предполагается, что он будет содержать вводную строку sql injection safe. Я хочу знать, может ли этот код очищать пользовательский ввод, чтобы сделать его безопасным для использования в не параметризованном запросе, то есть может ли он предотвратить SQL-инъекцию? Вы видите здесь какие-то проблемы?Может ли этот код сделать SQL-инъекцию невозможной?

private string FormatRemoveSQL(string strSQL) 
{ 
    const string BadStatementExpression = ";|--|create|drop|select|insert|delete|update|union|sp_|xp_|exec|/\\*.*\\*/|declare|waitfor|%|&"; 
    return Regex.Replace(strSQL, BadStatementExpression, " ", RegexOptions.IgnoreCase | RegexOptions.Compiled).Replace("'", "''"); 
}

источник

2016-11-16 bugfixer

+12

Почему не параметризованные запросы? – adt

Почему 'select' является« плохим заявлением »? То же самое для '%'? Похоже, что это слишком много, чтобы быть «общим». –

@mybirthname Прочитайте первое предложение. Он был дернут от [DotNetNuke/PortalSecurity.cs] (https://searchcode.com/codesearch/view/3358680/) –

Все, что происходит, это удаление ключевых слов общего языка. Для того, чтобы это было достаточно безопасным, оно должно быть религиозно поддерживаться продавцом, поэтому с административной точки зрения это кошмар.

Кроме того, я очень сомневаюсь, что список содержит все потенциально опасные ключевые слова. Это также может ограничивать вашу способность вводить определенные строки (хотя это может быть желательно). Однако это может помешать случайному хакеру.

Я бы назвал это способом непрофессионала сделать входную строку несколько безопасной.

источник

2016-11-16 21:03:00 JuanR

Действительно, входной фильтр не может предотвратить SQLi в общем случае. Это неадекватная защита, и, скорее всего, злоумышленник может обойти это. Он также зависит от базы данных, а точную атаку зависит от используемой СУБД. –

Может ли этот код сделать SQL-инъекцию невозможной?

ответ

Смежные вопросы