CA2100: Zkontrolujte dotazy SQL pro chyby zabezpečení

Vlastnost	Hodnota
ID pravidla	CA2100
Název	Zkontrolujte chyby zabezpečení u dotazů SQL
Kategorie	Zabezpečení
Oprava způsobující chybu nebo chybu způsobující chybu	Nenarušující
Povoleno ve výchozím nastavení v .NET 9	No

Příčina

Metoda nastaví System.Data.IDbCommand.CommandText vlastnost pomocí řetězce vytvořeného z řetězcového argumentu do metody.

Ve výchozím nastavení toto pravidlo analyzuje celý základ kódu, ale dá se nakonfigurovat.

Popis pravidla

Toto pravidlo předpokládá, že libovolný řetězec, jehož hodnotu nelze určit v době kompilace, může obsahovat uživatelský vstup. Řetězec příkazu SQL vytvořený ze vstupu uživatele je zranitelný vůči útokům prostřednictvím injektáže SQL. Při útoku prostřednictvím injektáže SQL poskytuje škodlivý uživatel vstup, který mění návrh dotazu při pokusu o poškození nebo získání neoprávněného přístupu k podkladové databázi. Mezi typické techniky patří injektáž jednoduché uvozovky nebo apostrofu, což je oddělovač řetězců literálu SQL; dvě pomlčky, které značí komentář SQL; a středník, který označuje, že nový příkaz následuje. Pokud musí být vstup uživatele součástí dotazu, použijte jednu z následujících možností, která je uvedena v zájmu efektivity, aby se snížilo riziko útoku.

• Použijte uloženou proceduru.
• Použijte parametrizovaný řetězec příkazu.
• Před sestavením příkazového řetězce ověřte vstup uživatele pro typ i obsah.

Následující typy .NET implementují CommandText vlastnost nebo poskytují konstruktory, které nastavují vlastnost pomocí řetězcového argumentu.

• System.Data.Odbc.OdbcCommand a System.Data.Odbc.OdbcDataAdapter
• System.Data.OleDb.OleDbCommand a System.Data.OleDb.OleDbDataAdapter
• System.Data.OracleClient.OracleCommand a System.Data.OracleClient.OracleDataAdapter
• System.Data.SqlClient.SqlCommand a System.Data.SqlClient.SqlDataAdapter

V některých případech nemusí toto pravidlo určit hodnotu řetězce v době kompilace, i když můžete. V takových případech toto pravidlo vytváří falešně pozitivní výsledky při použití těchto řetězců jako příkazů SQL. Následuje příklad takového řetězce.

int x = 10;
string query = "SELECT TOP " + x.ToString() + " FROM Table";

Totéž platí při implicitní použití ToString() .

int x = 10;
string query = String.Format("SELECT TOP {0} FROM Table", x);

Jak opravit porušení

Pokud chcete opravit porušení tohoto pravidla, použijte parametrizovaný dotaz.

Kdy potlačit upozornění

Pokud text příkazu neobsahuje žádný uživatelský vstup, je bezpečné potlačit upozornění z tohoto pravidla.

Potlačení upozornění

Pokud chcete pouze potlačit jedno porušení, přidejte do zdrojového souboru direktivy preprocesoru, abyste pravidlo zakázali a znovu povolili.

#pragma warning disable CA2100
// The code that's violating the rule is on this line.
#pragma warning restore CA2100

Pokud chcete pravidlo pro soubor, složku nebo projekt zakázat, nastavte jeho závažnost v none konfiguračním souboru.

[*.{cs,vb}]
dotnet_diagnostic.CA2100.severity = none

Další informace naleznete v tématu Jak potlačit upozornění analýzy kódu.

Konfigurace kódu pro analýzu

Pomocí následujících možností můžete nakonfigurovat, pro které části základu kódu se má toto pravidlo spouštět.

• Vyloučení konkrétních symbolů
• Vyloučení konkrétních typů a jejich odvozených typů

Kromě toho platí pro toto pravidlo následující možnosti související s analýzou toku dat:

• interprocedural_analysis_kind
• max_interprocedural_lambda_or_local_function_call_chain
• max_interprocedural_method_call_chain
• points_to_analysis_kind
• copy_analysis
• sufficient_IterationCount_for_weak_KDF_algorithm

Tyto možnosti můžete nakonfigurovat jenom pro toto pravidlo, pro všechna pravidla, která platí pro, nebo pro všechna pravidla v této kategorii (zabezpečení), na která se vztahují. Další informace naleznete v tématu Možnosti konfigurace pravidla kvality kódu.

Vyloučení konkrétních symbolů

Z analýzy můžete vyloučit konkrétní symboly, jako jsou typy a metody, nastavením možnosti excluded_symbol_names. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádného kódu v rámci pojmenovaných MyTypetypů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:

dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType

Poznámka

Nahraďte XXXX část CAXXXX ID příslušného pravidla.

Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|

• Pouze název symbolu (zahrnuje všechny symboly s názvem bez ohledu na typ nebo obor názvů).
• Plně kvalifikované názvy ve formátu ID dokumentace symbolu. Každý název symbolu vyžaduje předponu typu symbolu, například M: pro metody, T: typy a N: obory názvů.
• .ctor pro konstruktory a .cctor statické konstruktory.

Příklady:

Hodnota možnosti	Shrnutí
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType	Odpovídá všem symbolům s názvem MyType.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2	Porovná všechny symboly pojmenované buď MyType1 nebo MyType2.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType)	Odpovídá konkrétní metodě MyMethod se zadaným plně kvalifikovaným podpisem.
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType)	Odpovídá konkrétním metodám MyMethod1 a MyMethod2 příslušným plně kvalifikovaným podpisům.

Vyloučení konkrétních typů a jejich odvozených typů

Konkrétní typy a jejich odvozené typy můžete vyloučit z analýzy nastavením možnosti excluded_type_names_with_derived_types. Pokud chcete například určit, že pravidlo by se nemělo spouštět u žádné metody v rámci pojmenovaných MyType typů a jejich odvozených typů, přidejte do souboru .editorconfig v projektu následující dvojici klíč-hodnota:

dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType

Poznámka

Nahraďte XXXX část CAXXXX ID příslušného pravidla.

Povolené formáty názvů symbolů v hodnotě možnosti (oddělené ):|

• Pouze název typu (zahrnuje všechny typy s názvem bez ohledu na typ nebo obor názvů).
• Plně kvalifikované názvy ve formátu ID dokumentace symbolu s volitelnou T: předponou.

Příklady:

Hodnota možnosti	Shrnutí
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType	Odpovídá všem pojmenovaným MyType typům a všem jejich odvozeným typům.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2	Odpovídá všem typům pojmenovaným buď MyType1 nebo MyType2 a všem jejich odvozeným typům.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType	Odpovídá určitému typu MyType s daným plně kvalifikovaným názvem a všemi jeho odvozenými typy.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2	Odpovídá konkrétním typům MyType1 a MyType2 příslušným plně kvalifikovaným názvům a všem jejich odvozeným typům.

Příklad

Následující příklad ukazuje metodu, UnsafeQuerykterá porušuje pravidlo. Zobrazuje také metodu, SaferQuerykterá splňuje pravidlo pomocí parametrizovaného řetězce příkazu.

Imports System
Imports System.Data
Imports System.Data.SqlClient

Namespace ca2100

    Public Class SqlQueries

        Function UnsafeQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New SqlConnection(connection)
            Dim someCommand As New SqlCommand()
            someCommand.Connection = someConnection

            someCommand.CommandText = "SELECT AccountNumber FROM Users " &
            "WHERE Username='" & name & "' AND Password='" & password & "'"

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

        Function SaferQuery(connection As String,
         name As String, password As String) As Object

            Dim someConnection As New SqlConnection(connection)
            Dim someCommand As New SqlCommand()
            someCommand.Connection = someConnection

            someCommand.Parameters.Add(
            "@username", SqlDbType.NChar).Value = name
            someCommand.Parameters.Add(
            "@password", SqlDbType.NChar).Value = password
            someCommand.CommandText = "SELECT AccountNumber FROM Users " &
            "WHERE Username=@username AND Password=@password"

            someConnection.Open()
            Dim accountNumber As Object = someCommand.ExecuteScalar()
            someConnection.Close()
            Return accountNumber

        End Function

    End Class

    Class MaliciousCode

        Shared Sub Main2100(args As String())

            Dim queries As New SqlQueries()
            queries.UnsafeQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (which is always true):
            ' SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

            queries.SaferQuery(args(0), "' OR 1=1 --", "[PLACEHOLDER]")
            ' Resultant query (notice the additional single quote character):
            ' SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
            '                                   AND Password='[PLACEHOLDER]'
        End Sub

    End Class

End Namespace

public class SqlQueries
{
    public object UnsafeQuery(
       string connection, string name, string password)
    {
        SqlConnection someConnection = new SqlConnection(connection);
        SqlCommand someCommand = new SqlCommand();
        someCommand.Connection = someConnection;

        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username='" + name +
           "' AND Password='" + password + "'";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }

    public object SaferQuery(
       string connection, string name, string password)
    {
        SqlConnection someConnection = new SqlConnection(connection);
        SqlCommand someCommand = new SqlCommand();
        someCommand.Connection = someConnection;

        someCommand.Parameters.Add(
           "@username", SqlDbType.NChar).Value = name;
        someCommand.Parameters.Add(
           "@password", SqlDbType.NChar).Value = password;
        someCommand.CommandText = "SELECT AccountNumber FROM Users " +
           "WHERE Username=@username AND Password=@password";

        someConnection.Open();
        object accountNumber = someCommand.ExecuteScalar();
        someConnection.Close();
        return accountNumber;
    }
}

class MaliciousCode
{
    static void Main2100(string[] args)
    {
        SqlQueries queries = new SqlQueries();
        queries.UnsafeQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (which is always true):
        // SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

        queries.SaferQuery(args[0], "' OR 1=1 --", "[PLACEHOLDER]");
        // Resultant query (notice the additional single quote character):
        // SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'
        //                                   AND Password='[PLACEHOLDER]'
    }
}

Důležité

Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Pokud se připojujete k Azure SQL, spravované identity pro prostředky Azure se doporučují metodou ověřování.

Viz také

• Přehled zabezpečení