AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi SQL Injection verhindern?
Thema durchsuchen
Ansicht
Themen-Optionen

SQL Injection verhindern?

Ein Thema von NoGAD · begonnen am 22. Apr 2022 · letzter Beitrag vom 23. Apr 2022
Antwort Antwort
Seite 2 von 2     12   
Benutzerbild von NoGAD
NoGAD

Registriert seit: 31. Jan 2006
Ort: Weimar
345 Beiträge
 
Delphi 10.4 Sydney
 
#11

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 18:06
Query.SQL.Text := 'select * from Personen where Name = :NAME';
Query.ParamByName('NAME').AsString := Edit1.Text;

Hallo und Danke.

Ich verstehe das leider immer noch nicht.

Wenn ich einen Suchstring habe, dann sollte doch auch damit gearbeitet werden?

Wie wird denn :NAME initialisiert?

LG


Selbst die Erklärung von componentace hilft mir nicht, es zu verstehen: http://www.componentace.com/help/abs...sinqueries.htm
Mathias
Ich vergesse einfach zu viel.

Geändert von NoGAD (22. Apr 2022 um 18:11 Uhr)
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#12

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 18:50
Ein (SQL-)Parameter ist ein/eine Platzhalter/Variable.

Es wird keine Abfrage auf einen aktuellen Wert gemacht sondern auf den Parameter NAME
Query.SQL.Text := 'select * from Personen where Vorname = :NAME'; Den Wert wird hiermit gesetzt:
Delphi-Quellcode:
Query.ParamByName('NAME').AsString := 'Egon';
Query.Open;
Nun werden alle Personmen mit dem Vornamen "Egon" angezeigt.
Delphi-Quellcode:
Query.ParamByName('NAME').AsString := 'Susi';
Query.Open;
Nun alle Susis.
Markus Kinzler
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#13

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 19:03
[QUOTE=NoGAD;1504988]


Wie wird denn :NAME initialisiert?

Als Ergänzung, Delphi sucht aus dem SQL die Parameter raus. So kannst Du sie über ParamByName ansprechen. Die Namen legst Du selbst im SQL Statement fest.
Bei diesem Verfahren kannst Du nicht nur den Wert angeben, sondern auch den Typ berücksichtigen, String, Datum, Zahl .. schau es Dir an.
Damit erschlägst Du auch gleich Konvertierungsprobleme, Quoting und eben Injection.
Gruß, Jo
  Mit Zitat antworten Zitat
coasting

Registriert seit: 22. Jun 2005
Ort: Hamburg
2 Beiträge
 
Delphi 11 Alexandria
 
#14

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 19:58
Zitat:
Wie wird denn :NAME initialisiert?

Die Parameter werden über die Params Eigenschaft des TABSQuery Objekts definiert. Dort können auch weitere Eigenschaften wie zB der Datentyp vorgegeben werden.
  Mit Zitat antworten Zitat
Benutzerbild von NoGAD
NoGAD

Registriert seit: 31. Jan 2006
Ort: Weimar
345 Beiträge
 
Delphi 10.4 Sydney
 
#15

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 21:01
Ganz, ganz herzlichen Dank, dass ihr euch so viel Mühe mit mir gebt.

Trotzdem geht es mir nicht in den Kopf, warum mittels Parameter ein Code nicht ausgeführt werden kann..

Delphi-Quellcode:
Query.SQL.Text := 'select * from Personen where Vorname = :NAME';
Query.ParamByName('NAME').AsString := 'Egon';
Query.Open;
Statt 'Egon' würde dann eigentlich die Suchanfrage als Variable eingesetzt werden?

Delphi-Quellcode:
Query.ParamByName('NAME').AsString := Edit1.Text;
Query.Open;

???

Und in diesem Fall würde ein Datenbankbefehl ins Leere laufen?

LG
Mathias
Ich vergesse einfach zu viel.
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#16

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 21:33
..
Und in diesem Fall würde ein Datenbankbefehl ins Leere laufen?
Na probiers aus. Es beißt nicht.

Wenn überall davor gewarnt wird, Injections zu vermeiden, dann ist das so ähnlich, wie die Warnung vor dem Umspannhäuschen mit Schildern: Achtung Starkstrom.
Man könnte argumentieren, die Techniker gehen ja auch da rein und kommen lebend wieder raus. Tatsächlich! Und niemand weiß, was in den Häuschen geschieht.
Bei SQL ist das anders. Und ehrlich, wenn es Dir bis jetzt egal war oder zu kompliziert mit SQL, willst Du 1000 Details wissen?

Allein mein Hinweis, dass Du damit Typen behandeln kannst, erklärt für alle Typen außer Text, dass Injection nicht möglich ist. Du kannst kein SQL Text in einen Parameter vom Typ Integer packen. Das fliegt Dir schon im Client um die Ohren.

Bleibt der Text Typ, also Dein Beispiel mit Egon. Ich kann die Frage verstehen.
Ich kann es nicht für alle DB sagem (z.B. ABS habe ich einmal im Leben benutzt und es interessiert mich nicht. Für mich ist es so: ist ein guter Schritt weg von BDE, aber auch zu kurz gesprungen. Naja ist auch abhängig vom Einsatzzweck), aber die Parameter Auflösung geschieht erst auf dem Server (den es bei ABS so nicht gibt). Wenn das unbefüllte Statement beim Server ankommt, geschehen viele Dinge, die einen theoretisch nicht interessieren müssen (Blackbox Prinzip). Oft ergibt sich das Interesse erst zwangsweise, bei Fehlern oder schlechter Performance. Eine Sache ist die Query Planung. Der Server analysiert, wie er die Abfrage am schnellsten ausführen kann. Dabei spielen z.B. vorhandene Indizes eine Rolle. Diese Query Planung kostet wiederum Zeit. Um die zu sparen, geschieht zuerst etwas ziemlich billiges. Der Server schaut in der Liste der bereits geplanten Queries, ob er die gleiche Query bereits geplant hat. Dabei wird ein simpler Textvergleich z´wischen alten und der neuen Query durchgeführt. Eine nicht-parametrierte Query wird selten zu einem Treffer führen bei dieser Suche. Außer es wird ständig der gleiche Egon gesucht. Steht statt Egon eine feste Variable in der Query, funktioniert der Mechanismus bestens. Die neue wird bei den geplanten Queries gefunden, Planung bereits vorhanden, Analyse fällt weg. Erst jetzt wird der übegebene Parameter eingesetzt. An dieser Stelle liegt es in den Händen des Serverherstellers, wie er mit dem Problem Injection umgeht. Die haben da auch kein Bock drauf.

Du kannst das alles ergründen und ausprobieren für ABS oder andere Anbieter oder Du kannst die Spielregeln akzeptieren. Es gibt andere Mechanismen, die Injection verhindern und es gibt noch andere Vorteile bei parametrierten Queries.
Zu allem gibt es massig Infos im Internet und wahrscheinlich auch für ABS. Für sowas sucht man sich ein Tutorial oder die Handbücher raus und schaut sich die Erklärungen an oder fragt in den Anbieterforen. Sogar die Kommandozeilen Clients der Anbieter erlauben es, parametrierte Queries zu starten. Das gibt es nicht zum Spaß. Und bei Delphi hat man sogar etwas Komfort bei der Befüllung.
Gruß, Jo
  Mit Zitat antworten Zitat
Benutzerbild von NoGAD
NoGAD

Registriert seit: 31. Jan 2006
Ort: Weimar
345 Beiträge
 
Delphi 10.4 Sydney
 
#17

AW: SQL Injection verhindern?

  Alt 22. Apr 2022, 22:17
Recht herzlichen Dank!

Ich werde mich belesen.

Lg
Mathias
Ich vergesse einfach zu viel.
  Mit Zitat antworten Zitat
hoika

Registriert seit: 5. Jul 2006
Ort: Magdeburg
8.275 Beiträge
 
Delphi 10.4 Sydney
 
#18

AW: SQL Injection verhindern?

  Alt 23. Apr 2022, 17:49
Hallo,
Zitat:
Ganz, ganz herzlichen Dank, dass ihr euch so viel Mühe mit mir gebt.
Trotzdem geht es mir nicht in den Kopf, warum mittels Parameter ein Code nicht ausgeführt werden kann..
Bitte

Zuerst wird der SQL-Befehl übermittelt und danach die Parameter.

Das heißt:
1. SQL-Befehl analysieren, (Prepare)
2. Werte der Parameter einfügen, und das Drop Table ist dann kein Befehl mehr, sondern gehört zum Where.

Where "Egon;Drop Table1" wird dann also ins Leere laufen

Ein
Select Id From Person
Where Name="Egon";
Drop Table Tabelle1

ist was gaaanz anderes.
Zuerst das Select, dann das Drop


Durch die explizite Benutzung der Parameter teilt man der DB also mit,
dass man (hier) ein Select machen will.
Heiko

Geändert von hoika (23. Apr 2022 um 17:55 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von NoGAD
NoGAD

Registriert seit: 31. Jan 2006
Ort: Weimar
345 Beiträge
 
Delphi 10.4 Sydney
 
#19

AW: SQL Injection verhindern?

  Alt 23. Apr 2022, 18:16
Danke Heiko,

so schön erklärt ist es endlich verständlich.

Die reinen Abhandlungen, wie was gemacht wird, ist meistens schön und gut, der Hintergrund fehlt mir leider in vielen Fällen.

LG und ein schönes Wochenende
Mathias
Ich vergesse einfach zu viel.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz