CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

hrc Mester

06. april 2016 - 11:43 Der er 4 kommentarer

Forhindre SQL Batch injection i et SQL-vindue

Findes der en måde jeg kan splitte et batch-job op i de kommandoer der må være?

Nedenstående scripts bliver udført som batch, men den sidste ønsker jeg at filtrere fra.

select count(*) from sales insert into salery (created, user, salery) values (..)

På klientsiden kan jeg derfor godt bruge en parser som kan klare alle (dvs. må være SQL-serverens egen parser der skal bruges) kombinationer. I dette simple tilfælde skal jeg have separeret scriptet til dette:

select count(*) from sales

insert into salery (created, user, salery) values (..)

Synes godt om

arne_v Ekspert

07. april 2016 - 01:27 #1

Jeg kan kun se en metode: definer en grammatik for SQL og lav ene parser som returnerer de enkelte saetninger.

Og det bliver hurtigt lidt omfattende.

Hvis du fortaeller hvilket programmerings sprog saa kan jeg maaske vejlede lidt om det.

Synes godt om

hrc Mester

02. maj 2016 - 13:59 #2

Hej Arne.

Sproget er Delphi og jeg nåede selv frem til samme konklusion, at en parser var at overdrive. Det jeg håbede var, at SQL-serveren kunne det for mig. Umiddelbart synes jeg sådan en funktion ville være smart. Syntaksændringer og tilføjelser ville blive understøttet ved kilden. Det er der umiddelbart ikke.

Spørgsmålet tog udgangspunkt i en SQL-dialog i et program, hvor (super)brugeren kunne teste prægenerede scripts af. Der blev tjekket, at det første kommando var select, men bagefter kunne man placere "drop tables" og hvad ved jeg. Selvom man bare "åbnede" scriptet blev de efterfølgende kommandoer udført. En sikkerhedsbrist der heldigvis kun var åben for administratorer.

Jeg har løst det ved at skrivebeskytte scriptet og have en parameterliste som brugeren kan rette. Det er vist også den rette måde.

Selvom du manglede informationer til et reelt svar, vil jeg gerne give dig points for dine mange bidrag til fora.

Synes godt om

arne_v Ekspert

02. maj 2016 - 16:52 #3

Hvis det kun er meningen at det skal bruges til SELECT, saa var det nemmeste vel at connecte til databasen med en konto som kun havde SELECT priv).

Synes godt om

hrc Mester

03. maj 2016 - 13:04 #4

Ja, det er kun selects, så ideen er god - og også den rigtige. Jeg overvejede det kort, men programmet bruger normalt kun denne ene konto (som tillader SQL-kommandoer, for at kunne vedligeholde basen via opdateringer; tror ikke den må oprette ny ad-hoc konti). Det vil være et problem at skulle forbi ca. 100 kunders it-afdelinger og overtale dem til at lave os endnu en konto - ikke at de ville stille sig i vejen, det vil bare tage lang tid.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Flere spørgsmål fra MS SQL kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Kan ikke connecte til sql serveren Af simsen i MS SQL	2	05/01/202417:02	05/01/202420:51
Count med NOT IN og 2 conditions Af sorenmt84 i MS SQL	2	08/11/202308:37	08/11/202310:32
Top X af group Af totalpc i MS SQL	1	18/10/202321:23	09/11/202313:08
Row level security på flere kolonner Af dane022 i MS SQL	8	30/08/202321:28	01/09/202300:55
Annonceagent på dba - hvordan? Af KongKurs i MS SQL	4	31/07/202320:09	02/08/202321:19

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS