Mit zitieren Trennzeichen in der SQL SELECT-Anweisung für die Flucht in einfache Anführungszeichen

Ich will zu entkommen, single quote, wenn der Benutzer eine Eingabe von text wie "Sam' s Projekt, deliverable" in einer form Eintritt, entwickelt in C# (.NET). Datenbank ist ORACLE 10g.

Stieß ich auf Zitieren Trennzeichen feature von ORACLE 10g http://www.orafaq.com/wiki/SQL_FAQ#How_does_one_escape_special_characters_when_writing_SQL_queries.3F aber ich bin nicht sicher, ob mit so einem Zitat Trennzeichen q'[ text mit einfachen Anführungszeichen]' als Teil einer SELECT-Anweisung würde verhindern, dass SQL-Injection-Angriffe?

Beispiel für die Verwendung der quote-Trennzeichen q'[ text mit einfachen Anführungszeichen ]':

SQL> SELECT q'[Frank's Oracle site]' AS text FROM DUAL;
 TEXT
 -------------------
 Frank's Oracle site

 SQL> SELECT q'[A 'quoted' word.]' AS text FROM DUAL;
 TEXT
 ----------------
 A 'quoted' word.

 SQL> SELECT q'[A ''double quoted'' word.]' AS text FROM DUAL;
 TEXT
 -------------------------
 A ''double quoted'' word.
  • und dein problem ist...?
  • stackoverflow.com/questions/5468425/... Ihnen zu helfen.
  • Sorry Marc, gab es einige Fehler bei der Veröffentlichung der Frage. Jetzt ist mein Beitrag sollte erklären, mein problem/Frage
  • Es wird nicht verhindern, dass die Injektion. Es wird wahrscheinlich verlangsamen halbherzige versuche, weil die Angreifer davon aus, dass die Trennzeichen am Ende ist ' und bekommen nirgends. Aber ein Profi wird nicht aufhören, es und mit brute-force-Sie können brechen das Zitat wörtliche leicht genug.
  • Nein, dies wird nicht verhindern, dass-injection-Angriffe. Die EINZIGE Sache, die verhindern, dass-injection-Angriffe ist NIE gebaut werden dynamische SQL-Anweisungen mit der vom Benutzer eingegebenen Daten direkt in die SQL-text; D. H. Sie haben IMMER Zugriff auf die vom Benutzer eingegebenen Daten durch Parameter Marker. ALL-WEISE!!!
  • Beispiele bitte?
  • Hier ist ein Beispiel für sql-injection mit -- statt '
  • Danke!!

InformationsquelleAutor sunskin | 2013-04-23
  1. 5

    Wenn Ihre Abfrage sieht etwas so aus...

    query = "SELECT * FROM Users WHERE name = q'[" + <what the user entered> + "]'";

    ... und der user gibt etwas in dieser Art...

    abc]';<harmful statement>;SELECT * FROM DUAL WHERE '1'=q'[1

    ... Sie haben eine erfolgreiche Injektion.

    Es nicht egal, welches Trennzeichen Sie verwenden, mit der q - ein entschlossener Angreifer wird versuchen, Sie alle. Prepared statements sind Ihre beste Verteidigung.

    • +1 Danke für deine Antwort. Ihre Antwort hat mir geholfen, zu verstehen, wie gebrechlich die q-Trennzeichen ist.
    InformationsquelleAutor Ed Gibbs
  2. 0

    Versuchen Sie ersetzen alle single-quotes mit 2 einfachen Anführungszeichen vor dem ausführen der SQL. d.h. ersetzen Sie " mit " vor dem ausführen der SQL-Befehl.

    In C#:

    string sql = originalString.Replace("'", "''");
    • es ist viel sicherer, zu verwenden parametrierte Abfragen, wenn Sie können.
    • Danke für deine Antwort. Ich versuche gerade zu erkunden, die Möglichkeit, mit zitieren Trennzeichen q'[ ]' und wie sicher ist es? Und wenn es verhindert, dass die Injektion?
    • danke für den link und die Anregung. Ich werde das prüfen.
    • Ich verstehe. Dieser Artikel wahrscheinlich hilft mehr als ich kann - stackoverflow.com/questions/3544484/...
    • benötigt die string sql = originalString.Ersetzen("'", """); kommt unter parametriert Abfrage? (Ich bin ein Anfänger, bitte entschuldige mich für meinen Mangel an Verständnis des parametrierten Abfrage)
    • Nein - ich glaube parametrierte Abfragen senden Sie die Abfrage mit Platzhalter an die Datenbank, und dann die Eingabe des Benutzers, die zum füllen der Platzhalter. versuchen Sie eine Suche nach "c# - oracle parametrierte query Beispiel"
    • danke

    InformationsquelleAutor Martyn Atkins
Schreibe einen Kommentar