CA2100: SQL-query's controleren op beveiligingsproblemen

Eigenschappen	Weergegeven als
Regel-id	CA2100
Titel	SQL-query's controleren op beveiligingsproblemen
Categorie	Beveiliging
Oplossing is brekend of niet-brekend	Niet-brekend
Standaard ingeschakeld in .NET 9	Nee

Oorzaak

Met een methode wordt de System.Data.IDbCommand.CommandText eigenschap ingesteld met behulp van een tekenreeks die is gebouwd van een tekenreeksargument naar de methode.

Deze regel analyseert standaard de hele codebasis, maar dit kan worden geconfigureerd.

Beschrijving van regel

Bij deze regel wordt ervan uitgegaan dat een tekenreeks waarvan de waarde tijdens het compileren niet kan worden bepaald, gebruikersinvoer kan bevatten. Een SQL-opdrachtreeks die is gebouwd op basis van gebruikersinvoer, is kwetsbaar voor SQL-injectieaanvallen. Bij een SQL-injectieaanval levert een kwaadwillende gebruiker invoer die het ontwerp van een query wijzigt in een poging om schade aan te brengen of onbevoegde toegang te krijgen tot de onderliggende database. Typische technieken zijn het invoegen van één aanhalingsteken of apostrof, het letterlijke tekenreeksscheidingsteken van SQL; twee streepjes, die een SQL-opmerking aangeeft; en een puntkomma, die aangeeft dat een nieuwe opdracht volgt. Als gebruikersinvoer deel moet uitmaken van de query, gebruikt u een van de volgende, in volgorde van effectiviteit, om het risico op aanvallen te verminderen.

• Gebruik een opgeslagen procedure.
• Gebruik een geparameteriseerde opdrachtreeks.
• Valideer de gebruikersinvoer voor zowel het type als de inhoud voordat u de opdrachtreeks bouwt.

De volgende .NET-typen implementeren de CommandText eigenschap of bieden constructors die de eigenschap instellen met behulp van een tekenreeksargument.

• System.Data.Odbc.OdbcCommand en System.Data.Odbc.OdbcDataAdapter
• System.Data.OleDb.OleDbCommand en System.Data.OleDb.OleDbDataAdapter
• System.Data.OracleClient.OracleCommand en System.Data.OracleClient.OracleDataAdapter
• System.Data.SqlClient.SqlCommand en System.Data.SqlClient.SqlDataAdapter

In sommige gevallen kan deze regel de waarde van een tekenreeks tijdens het compileren niet bepalen, ook al kunt u dat wel. In die gevallen produceert deze regel fout-positieven bij het gebruik van deze tekenreeksen als SQL-opdrachten. Hier volgt een voorbeeld van een dergelijke tekenreeks.

int x = 10;
string query = "SELECT TOP " + x.ToString() + " FROM Table";

Hetzelfde geldt wanneer u impliciet gebruikt ToString() .

int x = 10;
string query = String.Format("SELECT TOP {0} FROM Table", x);

Schendingen oplossen

Als u een schending van deze regel wilt oplossen, gebruikt u een geparameteriseerde query.

Wanneer waarschuwingen onderdrukken

Het is veilig om een waarschuwing van deze regel te onderdrukken als de opdrachttekst geen gebruikersinvoer bevat.

Een waarschuwing onderdrukken

Als u slechts één schending wilt onderdrukken, voegt u preprocessorrichtlijnen toe aan uw bronbestand om de regel uit te schakelen en vervolgens opnieuw in te schakelen.

#pragma warning disable CA2100
// The code that's violating the rule is on this line.
#pragma warning restore CA2100

Als u de regel voor een bestand, map of project wilt uitschakelen, stelt u de ernst none ervan in op het configuratiebestand.

[*.{cs,vb}]
dotnet_diagnostic.CA2100.severity = none

Zie Codeanalysewaarschuwingen onderdrukken voor meer informatie.

Code configureren om te analyseren

Gebruik de volgende opties om te configureren op welke onderdelen van uw codebase deze regel moet worden uitgevoerd.

• Specifieke symbolen uitsluiten
• Specifieke typen en hun afgeleide typen uitsluiten

U kunt deze opties configureren voor alleen deze regel, voor alle regels waarop deze van toepassing is, of voor alle regels in deze categorie (beveiliging) waarop deze van toepassing is. Zie de configuratieopties voor de codekwaliteitsregel voor meer informatie.

Specifieke symbolen uitsluiten

U kunt specifieke symbolen, zoals typen en methoden, uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op code binnen benoemde MyTypetypen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen symboolnaam (inclusief alle symbolen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool. Voor elke symboolnaam is een voorvoegsel van het type symbool vereist, zoals M: voor methoden, T: voor typen en N: voor naamruimten.
• .ctor voor constructors en .cctor voor statische constructors.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Komt overeen met alle symbolen met de naam MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Komt overeen met alle symbolen met de naam of MyType1 MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Komt overeen met een specifieke methode MyMethod met de opgegeven volledig gekwalificeerde handtekening.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Komt overeen met specifieke methoden MyMethod1 en MyMethod2 met de respectieve volledig gekwalificeerde handtekeningen.

Specifieke typen en hun afgeleide typen uitsluiten

U kunt specifieke typen en hun afgeleide typen uitsluiten van analyse. Als u bijvoorbeeld wilt opgeven dat de regel niet mag worden uitgevoerd op methoden binnen benoemde MyType typen en de afgeleide typen, voegt u het volgende sleutel-waardepaar toe aan een .editorconfig-bestand in uw project:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Toegestane notaties voor symboolnamen in de optiewaarde (gescheiden door |):

• Alleen de naam van het type (bevat alle typen met de naam, ongeacht het type of de naamruimte).
• Volledig gekwalificeerde namen in de documentatie-id-indeling van het symbool, met een optioneel T: voorvoegsel.

Voorbeelden:

Optiewaarde	Samenvatting
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Komt overeen met alle typen met de naam MyType en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Komt overeen met alle typen met de naam MyType1 of MyType2 en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Komt overeen met een specifiek type MyType met een volledig gekwalificeerde naam en alle afgeleide typen.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Komt overeen met specifieke typen MyType1 en MyType2 met de respectieve volledig gekwalificeerde namen en alle afgeleide typen.

Opmerking

In het volgende voorbeeld ziet u een methode, UnsafeQuerydie de regel schendt. Er wordt ook een methode weergegeven die SaferQueryvoldoet aan de regel met behulp van een geparameteriseerde opdrachttekenreeks.

Imports System
Imports System.Data
Imports System.Data.SqlClient

Namespace ca2100

    Public Class SqlQueries

        Function UnsafeQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New SqlConnection(connection)
            Dim someCommand As New SqlCommand()
            someCommand.Connection = someConnection

            someCommand.CommandText = "SELECT AccountNumber FROM Users " &
            "WHERE Username='" & name & "' AND Password='" & password & "'"

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

        Function SaferQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New SqlConnection(connection)
            Dim someCommand As New SqlCommand()
            someCommand.Connection = someConnection

            someCommand.Parameters.Add(
            "@username", SqlDbType.NChar).Value = name
            someCommand.Parameters.Add(
            "@password", SqlDbType.NChar).Value = password
            someCommand.CommandText = "SELECT AccountNumber FROM Users " &
            "WHERE Username=@username AND Password=@password"

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

    End Class

    Class MaliciousCode

        Shared Sub Main2100(args As String())

            Dim queries As New SqlQueries()
            queries.UnsafeQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (which is always true):
            ' SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

            queries.SaferQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (notice the additional single quote character):
            ' SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
            '                                   AND Password='[PLACEHOLDER]'
        End Sub

    End Class

End Namespace

public class SqlQueries
{
    public object UnsafeQuery(
       string connection, string name, string password)
    {
        SqlConnection someConnection = new SqlConnection(connection);
        SqlCommand someCommand = new SqlCommand();
        someCommand.Connection = someConnection;

        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username='" + name +
           "' AND Password='" + password + "'";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }

    public object SaferQuery(
       string connection, string name, string password)
    {
        SqlConnection someConnection = new SqlConnection(connection);
        SqlCommand someCommand = new SqlCommand();
        someCommand.Connection = someConnection;

        someCommand.Parameters.Add(
           "@username", SqlDbType.NChar).Value = name;
        someCommand.Parameters.Add(
           "@password", SqlDbType.NChar).Value = password;
        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username=@username AND Password=@password";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }
}

class MaliciousCode
{
    static void Main2100(string[] args)
    {
        SqlQueries queries = new SqlQueries();
        queries.UnsafeQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (which is always true):
        // SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

        queries.SaferQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (notice the additional single quote character):
        // SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
        //                                   AND Password='[PLACEHOLDER]'
    }
}

Belangrijk

Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. Als u verbinding maakt met Azure SQL, is Managed Identities voor Azure-resources de aanbevolen verificatiemethode.

Zie ook

• Beveiligingsoverzicht