DisguiseでのSQLインジェクション

Question

SQLインジェクションクエリは、以前使用していた別のキャラクタセットを使用して変装することがあります。しかし、これらの偽装モードでも、クエリ文字列には、unionやcast、varcharなどのよく知られた単語が含まれます。

私の質問はこれです。

これらの言葉も偽装することは可能ですか？言い換えれば、「組合」や「キャスト」も偽装できますか？

Answer 1

SQL標準では、キーワードがZまたはを通じてラテン文字のAを使用する必要がありますがz、0〜9の数字、および特殊な特殊文字が含まれます。 「SQL-99 Complete、Really」のSQL Language Elementsを参照してください。

つまり、個々の実装（Oracle、Microsoft SQL Server、MySQLなど）は標準に完全に準拠していない可能性があります。最良の方法は、使用するRDBMSのブランドとバージョンをテストすることです。あなたのコメントを再

---

：MySQLは/* */コメントキーワードに埋め込むことができますが、データベースの他のブランドでは、インラインコメントは、多かれ少なかれ、空白のようなものです。
だからSEL/* */ECTはSEL ECTと似ていますが、もちろん有効なキーワードではないので失敗します。

私はコメント区切り文字もアスキー範囲の文字でなければならないと確信していますが、これは確かにテストしていません。実装によっては、RDBMSのブランドによって異なる可能性があります。答えはそれを考慮する必要があります（ヒント：使用しているデータベースのブランドを教えていない）。

「変装」の別のタイプはURLエンコードである可能性があります。つまり、個々の文字に対してHTMLエンティティまたはHTML 16進エンコーディングを使用します。 SQLはこれらを認識しませんが、デコードする前に生の入力をフィルタリングすると、何かがあなたの小切手を通過する可能性があります。

最終的には、ベストプラクティスのための私の方針は以下のとおりです。

• は、ユーザー入力が（これも、あるいはデータベース自体からファイルから読み込んだ任意の信頼できないコンテンツに適用される）コードとして実行させないでください。 SQL文字列に直接コンテンツを補間するのではなく、パラメータ化または少なくとも信頼できるエスケープ関数を使用します。

• ユーザー入力に基づいてSQLの他の部分を動的にしたい場合、パラメータ化は役立ちません。たとえば、ユーザーが自分の結果をソートする方法を選択させる：

  SELECT * FROM MyTable ORDER BY $ColumnOfUsersChoice $AscVsDesc 
  

すると、その場合、私の練習は、ホワイトリストを使用することですので、我々は代わりに、有効な選択肢の固定セットに対してユーザの入力を比較します正規表現とパターンマッチングを使用しようとしています。ホワイトリストの利点は、悪意のあるユーザーが何か賢い試みをした場合、その入力は無視されることです。

ホワイトリストの例については、私のプレゼンテーションSQL Injection Myths and Fallaciesまたは私の書籍SQL Antipatterns: Avoiding the Pitfalls of Database Programmingを参照してください。

ここでは、SQLインジェクション神話とフォラシーズのトークを紹介している私のビデオレコーディングです：http://marakana.com/forums/web_dev/general/210.htmlしかし、ビデオが作成されて以来、スライドを改善していますので、いくつかの違いがあります。

Answer 2

SQLインジェクションにキーワードを含める必要はありません。例えば

、

DELETE FROM Table WHERE ID=<<<Injected Payload>>> 

何の英数字が含まれていない注射したペイロードを意図したよりも行います。

''||''='' 

Answer 3

間違った方向から問題に近づいています。 SQLインジェクションから守る唯一の信頼できる方法は、データを解析したり、正しくエスケープしたりして、コードとして実行されないようにすることです。

パラメータ化されたクエリを使用すると、エスケープ処理に役立ちます。正しく処理するのは難しいためです。

入力のキーワードを検索することは、完全に保護されていないひどく書かれたコードを保護するための第二の対策としてのみ行われます。