「BobbyTables」XKCDコミックからのSQLインジェクションはどのように機能しますか?

1113
Blankman 2008-12-02 11:50.

見ているだけ:

(ソース: https://xkcd.com/327/)

このSQLは何をしますか:

Robert'); DROP TABLE STUDENTS; --

私は両方を知っている'--コメントをしているが、言葉はありませんDROP、それは同じラインの一部であるため、同様にコメントしますか?

13 answers

1132
Will 2008-12-02 11:50.

それは学生のテーブルを落とします。

学校のプログラムの元のコードはおそらく次のようになります

q = "INSERT INTO Students VALUES ('" + FNMName.Text + "', '" + LName.Text + "')";

これは、クエリにテキスト入力を追加するための素朴な方法であり、後でわかるように、非常に悪い方法です。

名、ミドルネームのテキストボックスFNMName.TextRobert'); DROP TABLE STUDENTS; --)、および最後の名前のテキストボックスLName.Text(これを呼び出しますDerper)の値がクエリの残りの部分と連結された後、結果は実際には2つのクエリで区切られます。ステートメントターミネータ(セミコロン)。2番目のクエリが最初のクエリに挿入されました。コードがデータベースに対してこのクエリを実行すると、次のようになります。

INSERT INTO Students VALUES ('Robert'); DROP TABLE Students; --', 'Derper')

これは、平易な英語では、おおまかに2つのクエリに変換されます。

Name値が「Robert」のStudentsテーブルに新しいレコードを追加します

そして

Studentテーブルを削除します

2番目のクエリを過ぎたものはすべてコメントとしてマークされます:--', 'Derper')

'学生の名前には、それが閉じます、コメントではない文字列の区切り文字。学生の名前は文字列であるため、架空のクエリを完了するには構文的に必要です。インジェクション攻撃は、インジェクトするSQLクエリが有効なSQLをもたらす場合にのみ機能します

編集後、再びあたりとしてdan04 s「は抜け目のないコメント

620
sinoth 2008-12-02 11:55.

名前が変数で使用されたとしましょう$Name

次に、次のクエリを実行します

INSERT INTO Students VALUES ( '$Name' )

コードは、ユーザーが変数として指定したものを誤って配置しています。

あなたはSQLを次のようにしたかった:

学生の値に挿入( ' Robert Tables`)

しかし、賢いユーザーは好きなものを提供できます。

学生の値に挿入( ' Robert'); DROP TABLE Students; --')

あなたが得るものは:

INSERT INTO Students VALUES ( 'Robert' );  DROP TABLE STUDENTS; --' )

--唯一の行の残りをコメントしています。

166
Johannes Fahrenkrug 2011-09-15 00:12.

他の誰もがすでに指摘しているように');、元のステートメントを閉じてから、2番目のステートメントが続きます。PHPなどの言語を含むほとんどのフレームワークには、1つのSQL文字列で複数のステートメントを許可しないデフォルトのセキュリティ設定があります。たとえば、PHPでは、mysqli_multi_query関数を使用して1つのSQL文字列で複数のステートメントを実行することしかできません。

ただし、2番目のステートメントを追加しなくても、SQLインジェクションを介して既存のSQLステートメントを操作できます。この単純な選択でユーザー名とパスワードをチェックするログインシステムがあるとしましょう。

$query="SELECT * FROM users WHERE username='" . $_REQUEST['user'] . "' and (password='".$_REQUEST['pass']."')"; $result=mysql_query($query);

あなたが提供する場合はpeter、ユーザー名とし、secretパスワードとして、結果のSQL文字列は次のようになります。

SELECT * FROM users WHERE username='peter' and (password='secret')

全部大丈夫です。ここで、この文字列をパスワードとして指定するとします。

' OR '1'='1

その場合、結果のSQL文字列は次のようになります。

SELECT * FROM users WHERE username='peter' and (password='' OR '1'='1')

これにより、パスワードを知らなくても任意のアカウントにログインできるようになります。したがって、SQLインジェクションを使用するために、2つのステートメントを使用できる必要はありませんが、複数のステートメントを指定できる場合は、より破壊的な処理を実行できます。

71
PhiLho 2008-12-02 12:01.

いいえ、'SQLのコメントではなく、区切り文字です。

Momは、データベースプログラマーが次のようなリクエストを行ったと想定しました。

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('$firstName', '$lastName');

(たとえば)新しい学生を追加し$xxxます。ここで、変数の内容は、フォーマットをチェックしたり、特殊文字をエスケープしたりせずに、HTMLフォームから直接取り出されました。

したがって、データベースプログラムが$firstName含まれてRobert'); DROP TABLE students; --いる場合、DBで直接次の要求を実行します。

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('Robert'); DROP TABLE students; --', 'XKCD');

すなわち。挿入ステートメントを早期に終了し、クラッカーが必要とする悪意のあるコードを実行してから、残りのコードをコメントアウトします。

うーん、私は遅すぎます、私はオレンジ色のバンドで私の前にすでに8つの答えを見ます... :-)人気のあるトピックのようです。

39
bwDraco 2011-09-27 10:20.

TL; DR

-アプリケーションは、入力を受け入れます。この場合は「ナンシー」です。
-特殊文字をエスケープするなどして、入力をサニタイズします
school => INSERT INTO student VALUES( 'Nancy');
INSERT 0 1

--SQLインジェクションは、データベースコマンドへの入力が次のように操作されたときに発生します。
-データベースサーバーに任意のSQLを実行させます
school => INSERT INTO student VALUES( 'Robert'); DROPTABLEの学生; -');
INSERT 0 1
ドロップテーブル

-学生の記録はなくなりました-さらに悪化した可能性があります!
学校=> SELECT * FROM学生;
エラー:リレーション「students」は存在しません
1行目:SELECT * FROM学生;
                      ^

これにより、学生テーブルが削除(削除)されます。

この回答のすべてのコード例は、PostgreSQL 9.1.2データベースサーバーで実行されました。

何が起こっているのかを明確にするために、名前フィールドのみを含む単純なテーブルでこれを試して、単一の行を追加してみましょう。

school => CREATE TABLEの生徒(名前はTEXT PRIMARY KEY);
注意:CREATE TABLE / PRIMARY KEYは、テーブル「students」の暗黙的なインデックス「students_pkey」を作成します
CREATE TABLE
school => INSERT INTO student VALUES( 'John');
INSERT 0 1

アプリケーションが次のSQLを使用してデータをテーブルに挿入するとします。

学生の価値観に挿入( 'foobar');

foobar学生の実際の名前に置き換えます。通常の挿入操作は次のようになります。

-入力:ナンシー
school => INSERT INTO student VALUES( 'Nancy');
INSERT 0 1

テーブルをクエリすると、次のようになります。

学校=> SELECT * FROM学生;
 名前
-------
 ジョン
 ナンシー
(2行)

Little Bobby Tablesの名前をテーブルに挿入するとどうなりますか?

-入力:Robert '); DROPTABLEの学生; -
school => INSERT INTO student VALUES( 'Robert'); DROPTABLEの学生; -');
INSERT 0 1
ドロップテーブル

ここでのSQLインジェクションは、ステートメントを終了し、別のDROP TABLEコマンドを含む学生の名前の結果です。入力の最後にある2つのダッシュは、エラーの原因となる残りのコードをコメントアウトすることを目的としています。出力の最後の行は、データベースサーバーがテーブルを削除したことを確認します。

INSERT操作中、アプリケーションは特殊文字の入力をチェックしていないため、SQLコマンドに任意の入力を入力できることに注意することが重要です。これは、悪意のあるユーザーが、通常はユーザー入力を目的としたフィールドに、引用符などの特別な記号を任意のSQLコードとともに挿入して、データベースシステムに実行させ、SQLインジェクションを実行できることを意味します 。

結果?

学校=> SELECT * FROM学生;
エラー:リレーション「students」は存在しません
1行目:SELECT * FROM学生;
                      ^

SQLインジェクションは、オペレーティングシステムまたはアプリケーションにおけるリモートの任意コード実行の脆弱性に相当するデータベースです。SQLインジェクション攻撃の成功による潜在的な影響を過小評価することはできません。データベースシステムとアプリケーションの構成によっては、攻撃者がデータの損失を引き起こしたり(この場合のように)、データへの不正アクセスを取得したり、実行したりする可能性があります。ホストマシン自体の任意のコード。

XKCDコミックで指摘されているように、SQLインジェクション攻撃から保護する1つの方法は、特殊文字をエスケープするなどしてデータベース入力をサニタイズすることです。これにより、基になるSQLコマンドを変更できず、任意のSQLコードが実行されなくなります。SqlParameterADO.NETでの使用など、パラメーター化されたクエリを使用する場合、SQLインジェクションを防ぐために、入力は少なくとも自動的にサニタイズされます。

ただし、アプリケーションレベルで入力をサニタイズしても、より高度なSQLインジェクション手法が停止しない場合があります。たとえば、mysql_real_escape_stringPHP関数を回避する方法があります。保護を強化するために、多くのデータベースシステムはプリペアドステートメントをサポートしています。バックエンドに適切に実装されている場合、プリペアドステートメントは、データ入力をコマンドの他の部分から意味的に分離されたものとして扱うことにより、SQLインジェクションを不可能にする可能性があります。

30
Dan Vinton 2008-12-02 11:56.

次のような学生作成方法を素朴に書いたとしましょう。

void createStudent(String name) {
    database.execute("INSERT INTO students (name) VALUES ('" + name + "')");
}

そして誰かが名前を入力します Robert'); DROP TABLE STUDENTS; --

データベースで実行されるのは、次のクエリです。

INSERT INTO students (name) VALUES ('Robert'); DROP TABLE STUDENTS --')

セミコロンは挿入コマンドを終了し、別のコマンドを開始します。-は残りの行をコメントアウトします。DROPTABLEコマンドが実行されます...

これが、バインドパラメータが良いことである理由です。

26
CodeAndCats 2008-12-02 12:03.

一重引用符は文字列の開始と終了です。セミコロンはステートメントの終わりです。したがって、次のような選択を行っている場合:

Select *
From Students
Where (Name = '<NameGetsInsertedHere>')

SQLは次のようになります。

Select *
From Students
Where (Name = 'Robert'); DROP TABLE STUDENTS; --')
--             ^-------------------------------^

一部のシステムでは、selectが最初に実行され、次にdropステートメントが実行されます。メッセージは次のとおりです。SQLに値を埋め込まないでください。代わりにパラメータを使用してください!

18
Jorn 2008-12-02 11:53.

');クエリを終了し、それがコメントを開始しません。次に、studentsテーブルを削除し、実行されるはずだった残りのクエリにコメントを付けます。

17
Paul Tomblin 2008-12-02 11:55.

The writer of the database probably did a

sql = "SELECT * FROM STUDENTS WHERE (STUDENT_NAME = '" + student_name + "') AND other stuff";
execute(sql);

If student_name is the one given, that does the selection with the name "Robert" and then drops the table. The "-- " part changes the rest of the given query into a comment.

17
Joel Coehoorn 2008-12-02 11:56.

In this case, ' is not a comment character. It's used to delimit string literals. The comic artist is banking on the idea that the school in question has dynamic sql somewhere that looks something like this:

$sql = "INSERT INTO `Students` (FirstName, LastName) VALUES ('" . $fname . "', '" . $lname . "')";

So now the ' character ends the string literal before the programmer was expecting it. Combined with the ; character to end the statement, an attacker can now add whatever sql they want. The -- comment at the end is to make sure any remaining sql in the original statement does not prevent the query from compiling on the server.

FWIW, I also think the comic in question has an important detail wrong: if you're thinking about sanitizing your database inputs, as the comic suggests, you're still doing it wrong. Instead, you should think in terms of quarantining your database inputs, and the correct way to do this is via parameterized queries.

16
Rockcoder 2008-12-02 11:54.

The ' character in SQL is used for string constants. In this case it is used for ending the string constant and not for comment.

7
Noname 2013-12-03 00:17.

This is how it works: Lets suppose the administrator is looking for records of student

Robert'); DROP TABLE STUDENTS; --

Since the admin account has high privileges deleting the table from this account is possible.

The code to retrieve user name from request is

Now the query would be something like this (to search the student table)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

The resultant query becomes

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

Since the user input is not sanitized, The above query has is manipulated into 2 parts

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

The double dash (--) will just comment out remaining part of the query.

This is dangerous as it can nullify password authentication, if present

The first one will do the normal search.

The second one will drop the table student if the account has sufficient privileges (Generally the school admin account will run such query and will have the privileges talked about above).

4
DevWL 2019-07-31 12:04.

You don't need to input form data to make SQL injection.

No one pointed this out before so through I might alert some of you.

Mostly we will try to patch forms input. But this is not the only place where you can get attacked with SQL injection. You can do very simple attack with URL which send data through GET request; Consider the fallowing example:

<a href="/show?id=1">show something</a>

Your url would look http://yoursite.com/show?id=1

Now someone could try something like this

http://yoursite.com/show?id=1;TRUNCATE table_name

Try to replace table_name with the real table name. If he get your table name right they would empty your table! (It is very easy to brut force this URL with simple script)

Your query would look something like this...

"SELECT * FROM page WHERE id = 4;TRUNCATE page"

Example of PHP vulnerable code using PDO:

<?php
...
$id = $_GET['id'];

$pdo = new PDO($database_dsn, $database_user, $database_pass);
$query = "SELECT * FROM page WHERE id = {$id}";
$stmt = $pdo->query($query); $data = $stmt->fetch(); 
/************* You have lost your data!!! :( *************/
...

Solution - use PDO prepare() & bindParam() methods:

<?php
...
$id = $_GET['id']; $query = 'SELECT * FROM page WHERE id = :idVal';
$stmt = $pdo->prepare($query); $stmt->bindParam('idVal', $id, PDO::PARAM_INT); $stmt->execute();
$data = $stmt->fetch();
/************* Your data is safe! :) *************/
...

Related questions

MORE COOL STUFF

「水曜日」シーズン1の中心には大きなミステリーがあります

「水曜日」シーズン1の中心には大きなミステリーがあります

Netflixの「水曜日」は、典型的な10代のドラマ以上のものであり、実際、シーズン1にはその中心に大きなミステリーがあります.

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ケイト・ミドルトンは、州の夕食会と州の訪問中にカミラ・パーカー・ボウルズからスポットライトを奪いたくなかった、と専門家は言う.

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンが、オリビア・ワイルドが彼女とハリー・スタイルズとの間の「難しい」が「非常に友好的」な分割を恒久的にすることを望んでいる理由を見つけてください.

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする&nbsp;

エリザベス女王の死後、ケイト・ミドルトンが舞台裏で「非常に困難な時期」を過ごしていたと伝えられている理由を調べてください.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セント ヘレナ島のジェイコブズ ラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

The Secrets of Airline Travel Quiz

The Secrets of Airline Travel Quiz

Air travel is far more than getting from point A to point B safely. How much do you know about the million little details that go into flying on airplanes?

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

Total War:Warhammer:Kotakuレビュー

Total War:Warhammer:Kotakuレビュー

私はこのゲームを嫌う準備ができていました。先週の前に、Total War:Warhammerについての私の考えがありました:それでもここに私は、私の手にある完成品であり、私は変わった男です。

涙の道:軍事化された帝国主義勢力がスタンディングロックキャンプを占領

涙の道:軍事化された帝国主義勢力がスタンディングロックキャンプを占領

スタンディングロックスー族のメンバーと水の保護者は、ノースダコタ州のスタンディングロックにあるオセティサコウィンキャンプを去ります。(Twitter経由のCNNスクリーンショット)火と煙がスカイラインを覆い、スタンディングロックスー族のメンバーと水の保護者が、聖なるものを守りながら建てた家、オセティサコウィン(セブンカウンシルファイアーズ)キャンプから行進し、太鼓を打ち、歌い、祈りました。ダコタアクセスパイプラインとしても知られる「ブラックスネーク」からの土地。

シアーズとKマートはイヴァンカ・トランプの商品を自分たちで取り除いています

シアーズとKマートはイヴァンカ・トランプの商品を自分たちで取り除いています

写真:APシアーズとKマートは、イヴァンカ・トランプのトランプホームアイテムのコレクションも、誰も購入したくないために削除しました。シアーズとKマートの両方の親会社であるシアーズホールディングスは、土曜日のABCニュースへの声明で、彼らが気にかけていると辛抱強く説明しましたトランプラインを売り続けるにはお金を稼ぐことについてあまりにも多く。

ポテトチップスでたった10分でスペインのトルティーヤを作る

ポテトチップスでたった10分でスペインのトルティーヤを作る

伝統的なスペインのトルティーヤは通常、オリーブオイルで柔らかくなるまで調理されたポテトから始まります(30分以上かかる場合があります)が、ケトルで調理されたポテトチップスの助けを借りてわずか10分でテーブルに置くことができます。上のビデオはすべてがバラバラにならないように裏返す方法を含め、レシピ全体を説明しますが、必要なのは4〜5個の卵と3カップのケトルチップスだけです。

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、子供向けのパズルの本の序文を書き、ジョージ王子、シャーロット王女、ルイ王子と一緒にテキストを読むと述べた.

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

Yak's Produce は、数十個のつぶれたメロンを野生動物のリハビリ専門家であるレスリー グリーンと彼女のルイジアナ州の救助施設で暮らす 42 匹の動物に寄付しました。

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

8 枚目のスタジオ アルバムのリリースに向けて準備を進めているデミ ロヴァートは、「スーパー グレート ガイ」と付き合っている、と情報筋は PEOPLE に確認しています。

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

イーサン プラスの誕生日のお祝いは、TLC のウェルカム トゥ プラスビルのシーズン 4 のフィナーレで、戦争中の母親のキム プラスと妻のオリビア プラスを結びつけました。

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

ホームオフィスのセットアップ術を極めよう!AppExert の開発者は、家族全員が一緒にいる場合でも、在宅勤務の技術を習得しています。祖父や曽祖父が共同家族で暮らしていた頃の記憶がよみがえりました。

2022 年、私たちのデジタル ライフはどこで終わり、「リアル ライフ」はどこから始まるのでしょうか?

20 年前のタイムトラベラーでさえ、日常生活におけるデジタルおよびインターネットベースのサービスの重要性に驚くことでしょう。MySpace、eBay、Napster などのプラットフォームは、高速化に焦点を合わせた世界がどのようなものになるかを示してくれました。

ニューロマーケティングの秘密科学

ニューロマーケティングの秘密科学

マーケティング担当者が人間の欲望を操作するために使用する、最先端の (気味が悪いと言う人もいます) メソッドを探ります。カートをいっぱいにして 3 桁の領収書を持って店を出る前に、ほんの数点の商品を買いに行ったことはありませんか? あなたは一人じゃない。

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

私たちが住んでいる世界を確実に理解するには、データが必要です。ただし、空間参照がない場合、このデータは地理的コンテキストがないと役に立たなくなる可能性があります。

Language