Tutoriales - ADO.NET - Evitar el SQL Injection - Seguridad en transacciones a Bases de Datos (Visual C#)

ADO.NET Evitar el SQL Injection (Visual C#)

Autor: Carlos Carmona

Para empezar, una pequeña explicación sobre qué es el SQL Injection.

SQL Injection: Se podría definir como la alteración mal intencionada de una orden SQL a base de datos por parte de un usuario, con el objetivo de obtener, insertar, modificar y/o borrar datos sin la autorización del propietario.

Un ejemplo sencillo:

Tenemos una página que crea dinámicamente un enlace con una variable, 'id' que envía por get:

DivContenido.InnerHtlm = "<a href=\"receptor.aspx?id=" + id + "\">Click AquÃ</a>";

Y en dicha pÃ¡gina (receptor.aspx), tomamos directamente dicha variable y formamos la sentencia SQL concatenando la variable a la sentencia:



private void Page_Load(object sender, System.EventArgs e)

{
  string id = "";
  id = Request.QueryString["id"].ToString();
  string conexion = "Data Source=localhost;User id=sa;Password=sa;Initial 
  Catalog=agenda";
  SqlConnection con = new SqlConnection (conexion);
  SqlDataAdapter da = new SqlDataAdapter("select * from contactos where id=" + id, 
  con);
  DataSet ds = new DataSet();
  da.Fill(ds);
  DataGrid1.DataSource = ds;
  DataGrid1.DataBind();

}

Esto permitiría que un usuario con conocimientos de SQL, modificase los valores de la variable id por get, poniendo, por ejemplo:

http://www.url.com/receptor.aspx?id=1%20union%20drop%20table%20tabla

Lo que escribiría:

SELECT * FROM contactos WHERE id = 1 union DROP TABLE tabla

Es decir, este usuario nos borraría la tabla de nombre 'tabla'.

Igual alguien podría pensar que el problema del SQL Injection solo se presenta cuando el usuario puede interactuar con los valores de las sentencias a través del navegador, ya sea por variables vía get o un TextBox (input type="text") , en absoluto, aunque el usuario no tenga acceso a las variables a través del navegador, hay programas que envían paquetes definidos por el usuario a través de diversos puertos, en el caso de la web, el puerto 80, luego, siempre que vayamos a hacer una transacción a base de datos que contenga variables, deberemos hacerlo mediante los parámetros implementados en .NET, que evitan si o si la inyección de SQL por parte de los usuarios.

El modo correcto de realizar la anterior sentencia sería:



private void Page_Load(object sender, System.EventArgs e)

{
  string id = "";
  id = Request.QueryString["id"].ToString();

  string conexion = "Data Source=localhost;User id=sa;Password=sa;Initial 
  Catalog=agenda";
  SqlConnection con = new SqlConnection (conexion);
  SqlDataAdapter da = new SqlDataAdapter("select * from contactos where id = @id", 
  con);
 
  SqlParameter param1 = new SqlParameter("@id", SqlDbType.Int, 4);
  param1.Direction = ParameterDirection.Input;
  param1.Value = id;
  da.SelectCommand.Parameters.Add(param1);
 
  DataSet ds = new DataSet();
  da.Fill(ds);
  DataGrid1.DataSource = ds;
  DataGrid1.DataBind();

}

También podemos escribir la forma abreviada de los parametros:

da.SelectCommand.Parameters.Add("@id", SqlDbType.Int, 4).Value = id;

El concepto de Direction especifica si el parametro es de entrada o salida, realmente solo es necesario cuando el comando hace una llamada a un procedimiento almacenado de Transact-SQL donde hay declarada una variable como OutPut, en cuyo caso, así deberemos reflejarlo en el parametro, dentro de Direction.

La estructura básica de los parámetros es:

Comando.Parameters.Add(string variable, SqlDbType Tipo_dato, longitud).Value = valor;

Si un tipo de dato de un campo en base de datos estÃ¡ especificado como Numeric (Decimal) y en el parametro decimos que es un int, en principio funcionaría, pero nos arriesgamos a provocar un desbordamiento, por lo que lo recomendable es especificar el tipo de dato que consta en base de datos.

En el ejemplo anterior he usado un SqlDataAdapter, ya que se trataba de traer datos, pero para un insert, update o delete con SqlCommand sería igual:



private void Page_Load(object sender, System.EventArgs e)

{
  string id = ident.Text;
  string conexion = "Data Source=localhost;User id=sa;Password=sa;Initial 
  Catalog=agenda";
  SqlConnection con = new SqlConnection (conexion);
  SqlCommand cmd = new SqlCommand("delete from cartera where ident = @id", con);
 
  /* **************** MODO CORTO **************** */

  cmd.Parameters.Add("@id", SqlDbType.Int, 4).Value = id;
  /* ******************************************** */
 
  /* **************** MODO LARGO **************** */

  SqlParameter param1 = new SqlParameter("@id", SqlDbType.Int, 4);
  param1.Direction = ParameterDirection.Input;
  param1.Value = id;
  cmd.Parameters.Add(param1);
  /* ******************************************** */

 
  try 
  {
  	cmd.ExecuteNonQuery();
  }

  catch (Exception errorMens)

  {

        error.Visible = true;
	error.Text = errorMens.Message;
  }

  finally 
  {

	cmd.Connection.Close();
  }


}

Espacio de Nombres requerido:


using System.Data.SqlClient;

Para más información, consulte la referencia del MSDN acerca de parametros en SQL bajo .NET.

Nota: En un foro (no recuerdo donde), me han dado un pequeño tirón de orejas (merecido) en referencia a que la sentencia "union" no permite usar deletes, tal y como yo especifiqué en el ejemplo... muy cierto (ya no se me vuelve a olvidar). En cualquier caso si que podría hacer (para ese ejemplo en concreto) un select y obtener datos confidenciales de clientes.

Este tutorial está bajo licencia CopyLeft. Se permite por tanto su libre copia y distribución a condición de poner el nombre del autor y un enlace a www.scourdesign.com
Respete por favor estas simples condiciones para que todos podamos ganar con la licencia CopyLeft.

Scour Design. Tutoriales de Flash, ActionScript, CSS, Photoshop, ImageReady...

ADO.NET Evitar el SQL Injection (Visual C#)

Autor: Carlos Carmona