CA2100: Controllare la vulnerabilità della sicurezza nelle query SQL

Proprietà	valore
ID regola	CA2100
Title	Controllare la vulnerabilità della sicurezza nelle query SQL
Categoria	Sicurezza
La correzione causa un'interruzione o meno	Non causa un'interruzione
Abilitato per impostazione predefinita in .NET 10	No

Causa

Un metodo imposta la System.Data.IDbCommand.CommandText proprietà utilizzando una stringa compilata da un argomento stringa al metodo .

Per impostazione predefinita, questa regola analizza l'intera codebase, ma è configurabile.

Descrizione regola

Questa regola presuppone che qualsiasi stringa il cui valore non può essere determinato in fase di compilazione potrebbe contenere input utente. Una stringa di comando SQL creata dall'input utente è vulnerabile agli attacchi SQL injection. In un attacco SQL injection, un utente malintenzionato fornisce input che modifica la progettazione di una query in un tentativo di danneggiare o ottenere l'accesso non autorizzato al database sottostante. Le tecniche tipiche includono l'inserimento di una virgoletta singola o apostrofo, ovvero il delimitatore di stringa letterale SQL; due trattini, che indica un commento SQL; e un punto e virgola, che indica che segue un nuovo comando. Se l'input dell'utente deve far parte della query, usare una delle opzioni seguenti, elencate in ordine di efficacia, per ridurre il rischio di attacco.

• Utilizza una stored procedure.
• Usare una stringa di comando con parametri.
• Convalidare l'input dell'utente sia per il tipo che per il contenuto prima di compilare la stringa di comando.

I tipi .NET seguenti implementano la CommandText proprietà o forniscono costruttori che impostano la proprietà usando un argomento stringa:

• System.Data.Odbc.OdbcCommand e System.Data.Odbc.OdbcDataAdapter
• System.Data.OleDb.OleDbCommand e System.Data.OleDb.OleDbDataAdapter
• System.Data.OracleClient.OracleCommand e System.Data.OracleClient.OracleDataAdapter
• System.Data.SqlClient.SqlCommand e System.Data.SqlClient.SqlDataAdapter

In alcuni casi, questa regola potrebbe non determinare il valore di una stringa in fase di compilazione, anche se è possibile. In questi casi, questa regola produce falsi positivi quando si usano tali stringhe come comandi SQL. Di seguito è riportato un esempio di stringa di questo tipo.

int x = 10;
string query = "SELECT TOP " + x.ToString() + " FROM Table";

Lo stesso vale quando si usa ToString() in modo implicito.

int x = 10;
string query = String.Format("SELECT TOP {0} FROM Table", x);

Come correggere le violazioni

Per correggere una violazione di questa regola, usare una query con parametri.

Quando eliminare gli avvisi

È possibile eliminare un avviso da questa regola se il testo del comando non contiene alcun input dell'utente.

Eliminare un avviso

Se si vuole eliminare una singola violazione, aggiungere direttive del preprocessore al file di origine per disabilitare e quindi riabilitare la regola.

#pragma warning disable CA2100
// The code that's violating the rule is on this line.
#pragma warning restore CA2100

Per disabilitare la regola per un file, una cartella o un progetto, impostarne la gravità none su nel file di configurazione.

[*.{cs,vb}]
dotnet_diagnostic.CA2100.severity = none

Per altre informazioni, vedere Come eliminare gli avvisi di analisi del codice.

Configurare il codice da analizzare

Usare le opzioni seguenti per configurare le parti della codebase in cui eseguire questa regola.

• Escludere simboli specifici
• Escludere tipi specifici e i relativi tipi derivati

Inoltre, a questa regola si applicano le opzioni correlate all'analisi del flusso di dati seguenti:

• interprocedural_analysis_kind
• max_interprocedural_lambda_or_local_function_call_chain
• max_interprocedural_method_call_chain
• points_to_analysis_kind
• copy_analysis
• sufficient_IterationCount_for_weak_KDF_algorithm

È possibile configurare queste opzioni solo per questa regola, per tutte le regole a cui si applicano o per tutte le regole di questa categoria (Sicurezza) a cui si applicano. Per altre informazioni, vedere Opzioni di configurazione delle regole di qualità del codice.

Escludere simboli specifici

È possibile escludere simboli specifici, ad esempio tipi e metodi, dall'analisi impostando l'opzione excluded_symbol_names. Ad esempio, per specificare che la regola non deve essere eseguita in alcun codice all'interno di tipi denominati MyType, aggiungere la coppia chiave-valore seguente a un file con estensione editorconfig nel progetto:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Nota

Sostituire la parte XXXX di CAXXXX con l'ID della regola applicabile.

Formati di nome simbolo consentiti nel valore dell'opzione (separati da |):

• Solo nome simbolo (include tutti i simboli con il nome, indipendentemente dal tipo o dallo spazio dei nomi contenitore).
• Nomi completi nel formato ID della documentazione del simbolo. Ogni nome di simbolo richiede un prefisso di tipo simbolo, ad esempio M: per i metodi, T: per i tipi e N: per gli spazi dei nomi.
• .ctor per costruttori e .cctor per costruttori statici.

Esempi:

Valore opzione	Riepilogo
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Corrisponde a tutti i simboli denominati MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Corrisponde a tutti i simboli denominati MyType1 o MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Corrisponde a un metodo MyMethod specifico con la firma completa specificata.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Trova la corrispondenza con metodi MyMethod1 specifici e MyMethod2 con le rispettive firme complete.

Escludere tipi specifici e i relativi tipi derivati

È possibile escludere tipi specifici e i relativi tipi derivati dall'analisi impostando l'opzione excluded_type_names_with_derived_types. Ad esempio, per specificare che la regola non deve essere eseguita in alcun metodo all'interno di tipi denominati MyType e dei relativi tipi derivati, aggiungere la coppia chiave-valore seguente a un file con estensione editorconfig nel progetto:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Nota

Sostituire la parte XXXX di CAXXXX con l'ID della regola applicabile.

Formati di nome simbolo consentiti nel valore dell'opzione (separati da |):

• Solo nome di tipo (include tutti i tipi con il nome, indipendentemente dal tipo o dallo spazio dei nomi contenitore).
• Nomi completi nel formato ID della documentazione del simbolo, con un prefisso facoltativoT:.

Esempi:

Valore opzione	Riepilogo
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Corrisponde a tutti i tipi denominati MyType e a tutti i relativi tipi derivati.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Corrisponde a tutti i tipi denominati MyType1 o MyType2 e a tutti i relativi tipi derivati.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Corrisponde a un tipo MyType specifico con il nome completo specificato e tutti i relativi tipi derivati.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Corrisponde a tipi MyType1 specifici e MyType2 con i rispettivi nomi completi e tutti i relativi tipi derivati.

Esempio

Nell'esempio seguente viene illustrato un metodo , UnsafeQuery, che viola la regola. Mostra anche un metodo, SaferQuery, che soddisfa la regola usando una stringa di comando con parametri.

Imports System.Data
Imports System.Data.OleDb
Imports System.Runtime.Versioning

Namespace ca2100

    Public Class SqlQueries

        <SupportedOSPlatform("windows")>
        Function UnsafeQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New OleDbConnection(connection)
            Dim someCommand As New OleDbCommand With {
                .Connection = someConnection,
                .CommandText = "SELECT AccountNumber FROM Users " &
                "WHERE Username='" & name & "' AND Password='" & password & "'"
            }

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

        <SupportedOSPlatform("windows")>
        Function SaferQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New OleDbConnection(connection)
            Dim someCommand As New OleDbCommand With {
                .Connection = someConnection
            }

            someCommand.Parameters.AddWithValue(
            "@username", OleDbType.Char).Value = name
            someCommand.Parameters.AddWithValue(
            "@password", OleDbType.Char).Value = password
            someCommand.CommandText = "SELECT AccountNumber FROM Users " &
            "WHERE Username=@username AND Password=@password"

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

    End Class

    Class MaliciousCode

        <SupportedOSPlatform("windows")>
        Shared Sub Main2100(args As String())

            Dim queries As New SqlQueries()
            queries.UnsafeQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (which is always true):
            ' SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

            queries.SaferQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (notice the additional single quote character):
            ' SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
            '                                   AND Password='[PLACEHOLDER]'
        End Sub

    End Class

End Namespace

[SupportedOSPlatform("Windows")]
public class OleDbQueries
{
    public object UnsafeQuery(
       string connection, string name, string password)
    {
        using OleDbConnection someConnection = new(connection);
        using OleDbCommand someCommand = new();
        someCommand.Connection = someConnection;

        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username='" + name +
           "' AND Password='" + password + "'";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }

    public object SaferQuery(
       string connection, string name, string password)
    {
        using OleDbConnection someConnection = new(connection);
        using OleDbCommand someCommand = new();
        someCommand.Connection = someConnection;

        someCommand.Parameters.Add(
           "@username", OleDbType.Char).Value = name;
        someCommand.Parameters.Add(
           "@password", OleDbType.Char).Value = password;
        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username=@username AND Password=@password";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }
}

[SupportedOSPlatform("Windows")]
class MaliciousCode
{
    static void Main2100(string[] args)
    {
        OleDbQueries queries = new();
        queries.UnsafeQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (which is always true):
        // SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

        queries.SaferQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (notice the additional single quote character):
        // SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
        //                                   AND Password='[PLACEHOLDER]'
    }
}

Importante

Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Se ci si connette ad Azure SQL, le Identità gestite per le risorse Azure sono il metodo di autenticazione consigliato.

Vedi anche

• Proteggere un database in SQL Data Warehouse