Безопасное обрамление строк и предотвращение SQL-инъекций в Delphi

Delphi , Базы данных , SQL

Введение

Работа с базами данных в среде Delphi часто требует выполнения SQL-запросов. Одним из важных аспектов при этом является корректное обрамление строк, а также предотвращение SQL-инъекций. SQL-инъекции — это тип атаки на базы данных, при котором злоумышленник может вставлять вредоносные SQL-коды в пользовательский ввод, что может привести к несанкционированному доступу, изменению или удалению данных.

Основная проблема

При работе с строками в Delphi, важно понимать, как правильно обрамлять строковые литералы. В Pascal, который используется в Delphi, для обозначения строковых литералов применяются одинарные кавычки. Если в строку необходимо вставить символ одинарной кавычки, следует использовать два таких символа подряд.

Примеры кода

S := 'hey''there';        // выведет hey'there
S := 'specification=''';   // выведет specification=

Решение проблемы

Чтобы избежать SQL-инъекций, важно использовать параметризованные запросы. Они позволяют избежать необходимости вставлять пользовательский ввод напрямую в SQL-запрос, тем самым повышая безопасность.

Альтернативный способ обрамления символа одинарной кавычки

Также можно использовать функцию Chr, чтобы вставить символ одинарной кавычки в строку:

Begin
AdoQuery1.SQL.Clear;
AdoQuery1.SQL.Add('Select Sum(Cast(Total As Float)) As tot From machine Where Specification='+Chr(39)+dbLookupComboBox1.Text+Chr(39));
AdoQuery1.Open;
End;

Этот код демонстрирует, как можно безопасно обработать строковый литерал, содержащий одинарную кавычку, и использовать его в SQL-запросе.

Подтвержденный ответ

Использование параметризованных запросов является наиболее надежным способом предотвращения SQL-инъекций. Это позволяет отделить данные от кода запроса, что делает невозможным внедрение вредоносного кода через пользовательский ввод.

Альтернативный код с использованием параметризации

procedure TForm1.Button1Click(Sender: TObject);
var
  Specification: string;
begin
  Specification := 'some value with "single quotes"';
  AdoQuery1.Close;
  AdoQuery1.SQL.Clear;
  AdoQuery1.Parameters.Clear;
  AdoQuery1.Parameters.Add('Parameter1', ftString, [poLength], Specification);
  AdoQuery1.SQL.Add('Select * From machine Where Specification = :Parameter1');
  AdoQuery1.Open;
end;

В данном примере, строка с параметрами, содержащимися в одинарных кавычках, обрабатывается правильно и безопасно, что исключает возможность SQL-инъекции.

Заключение

При работе с базой данных в Delphi важно обращать внимание на детали обрамления строк и, где это возможно, использовать параметризованные запросы для предотвращения SQL-инъекций.

Эта статья представляет собой краткий обзор и некоторые примеры, которые разработчики, работающие с Delphi, могут использовать для обеспечения безопасности своего программного обеспечения от уязвимостей, связанных с SQL-инъекциями.

Создано по материалам из источника по ссылке.

В статье рассматривается важность правильного обрамления строк и использования параметризованных запросов для предотвращения SQL-инъекций при работе с базами данных в среде разработки Delphi.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: SQL ::