「BobbyTables」XKCDコミックからのSQLインジェクションはどのように機能しますか?

1113
Blankman 2008-12-02 11:50.

見ているだけ:

(ソース: https://xkcd.com/327/)

このSQLは何をしますか:

Robert'); DROP TABLE STUDENTS; --

私は両方を知っている'--コメントをしているが、言葉はありませんDROP、それは同じラインの一部であるため、同様にコメントしますか?

13 answers

1132
Will 2008-12-02 11:50.

それは学生のテーブルを落とします。

学校のプログラムの元のコードはおそらく次のようになります

q = "INSERT INTO Students VALUES ('" + FNMName.Text + "', '" + LName.Text + "')";

これは、クエリにテキスト入力を追加するための素朴な方法であり、後でわかるように、非常に悪い方法です。

名、ミドルネームのテキストボックスFNMName.TextRobert'); DROP TABLE STUDENTS; --)、および最後の名前のテキストボックスLName.Text(これを呼び出しますDerper)の値がクエリの残りの部分と連結された後、結果は実際には2つのクエリで区切られます。ステートメントターミネータ(セミコロン)。2番目のクエリが最初のクエリに挿入されました。コードがデータベースに対してこのクエリを実行すると、次のようになります。

INSERT INTO Students VALUES ('Robert'); DROP TABLE Students; --', 'Derper')

これは、平易な英語では、おおまかに2つのクエリに変換されます。

Name値が「Robert」のStudentsテーブルに新しいレコードを追加します

そして

Studentテーブルを削除します

2番目のクエリを過ぎたものはすべてコメントとしてマークされます:--', 'Derper')

'学生の名前には、それが閉じます、コメントではない文字列の区切り文字。学生の名前は文字列であるため、架空のクエリを完了するには構文的に必要です。インジェクション攻撃は、インジェクトするSQLクエリが有効なSQLをもたらす場合にのみ機能します

編集後、再びあたりとしてdan04 s「は抜け目のないコメント

620
sinoth 2008-12-02 11:55.

名前が変数で使用されたとしましょう$Name

次に、次のクエリを実行します

INSERT INTO Students VALUES ( '$Name' )

コードは、ユーザーが変数として指定したものを誤って配置しています。

あなたはSQLを次のようにしたかった:

学生の値に挿入( ' Robert Tables`)

しかし、賢いユーザーは好きなものを提供できます。

学生の値に挿入( ' Robert'); DROP TABLE Students; --')

あなたが得るものは:

INSERT INTO Students VALUES ( 'Robert' );  DROP TABLE STUDENTS; --' )

--唯一の行の残りをコメントしています。

166
Johannes Fahrenkrug 2011-09-15 00:12.

他の誰もがすでに指摘しているように');、元のステートメントを閉じてから、2番目のステートメントが続きます。PHPなどの言語を含むほとんどのフレームワークには、1つのSQL文字列で複数のステートメントを許可しないデフォルトのセキュリティ設定があります。たとえば、PHPでは、mysqli_multi_query関数を使用して1つのSQL文字列で複数のステートメントを実行することしかできません。

ただし、2番目のステートメントを追加しなくても、SQLインジェクションを介して既存のSQLステートメントを操作できます。この単純な選択でユーザー名とパスワードをチェックするログインシステムがあるとしましょう。

$query="SELECT * FROM users WHERE username='" . $_REQUEST['user'] . "' and (password='".$_REQUEST['pass']."')"; $result=mysql_query($query);

あなたが提供する場合はpeter、ユーザー名とし、secretパスワードとして、結果のSQL文字列は次のようになります。

SELECT * FROM users WHERE username='peter' and (password='secret')

全部大丈夫です。ここで、この文字列をパスワードとして指定するとします。

' OR '1'='1

その場合、結果のSQL文字列は次のようになります。

SELECT * FROM users WHERE username='peter' and (password='' OR '1'='1')

これにより、パスワードを知らなくても任意のアカウントにログインできるようになります。したがって、SQLインジェクションを使用するために、2つのステートメントを使用できる必要はありませんが、複数のステートメントを指定できる場合は、より破壊的な処理を実行できます。

71
PhiLho 2008-12-02 12:01.

いいえ、'SQLのコメントではなく、区切り文字です。

Momは、データベースプログラマーが次のようなリクエストを行ったと想定しました。

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('$firstName', '$lastName');

(たとえば)新しい学生を追加し$xxxます。ここで、変数の内容は、フォーマットをチェックしたり、特殊文字をエスケープしたりせずに、HTMLフォームから直接取り出されました。

したがって、データベースプログラムが$firstName含まれてRobert'); DROP TABLE students; --いる場合、DBで直接次の要求を実行します。

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('Robert'); DROP TABLE students; --', 'XKCD');

すなわち。挿入ステートメントを早期に終了し、クラッカーが必要とする悪意のあるコードを実行してから、残りのコードをコメントアウトします。

うーん、私は遅すぎます、私はオレンジ色のバンドで私の前にすでに8つの答えを見ます... :-)人気のあるトピックのようです。

39
bwDraco 2011-09-27 10:20.

TL; DR

-アプリケーションは、入力を受け入れます。この場合は「ナンシー」です。
-特殊文字をエスケープするなどして、入力をサニタイズします
school => INSERT INTO student VALUES( 'Nancy');
INSERT 0 1

--SQLインジェクションは、データベースコマンドへの入力が次のように操作されたときに発生します。
-データベースサーバーに任意のSQLを実行させます
school => INSERT INTO student VALUES( 'Robert'); DROPTABLEの学生; -');
INSERT 0 1
ドロップテーブル

-学生の記録はなくなりました-さらに悪化した可能性があります!
学校=> SELECT * FROM学生;
エラー:リレーション「students」は存在しません
1行目:SELECT * FROM学生;
                      ^

これにより、学生テーブルが削除(削除)されます。

この回答のすべてのコード例は、PostgreSQL 9.1.2データベースサーバーで実行されました。

何が起こっているのかを明確にするために、名前フィールドのみを含む単純なテーブルでこれを試して、単一の行を追加してみましょう。

school => CREATE TABLEの生徒(名前はTEXT PRIMARY KEY);
注意:CREATE TABLE / PRIMARY KEYは、テーブル「students」の暗黙的なインデックス「students_pkey」を作成します
CREATE TABLE
school => INSERT INTO student VALUES( 'John');
INSERT 0 1

アプリケーションが次のSQLを使用してデータをテーブルに挿入するとします。

学生の価値観に挿入( 'foobar');

foobar学生の実際の名前に置き換えます。通常の挿入操作は次のようになります。

-入力:ナンシー
school => INSERT INTO student VALUES( 'Nancy');
INSERT 0 1

テーブルをクエリすると、次のようになります。

学校=> SELECT * FROM学生;
 名前
-------
 ジョン
 ナンシー
(2行)

Little Bobby Tablesの名前をテーブルに挿入するとどうなりますか?

-入力:Robert '); DROPTABLEの学生; -
school => INSERT INTO student VALUES( 'Robert'); DROPTABLEの学生; -');
INSERT 0 1
ドロップテーブル

ここでのSQLインジェクションは、ステートメントを終了し、別のDROP TABLEコマンドを含む学生の名前の結果です。入力の最後にある2つのダッシュは、エラーの原因となる残りのコードをコメントアウトすることを目的としています。出力の最後の行は、データベースサーバーがテーブルを削除したことを確認します。

INSERT操作中、アプリケーションは特殊文字の入力をチェックしていないため、SQLコマンドに任意の入力を入力できることに注意することが重要です。これは、悪意のあるユーザーが、通常はユーザー入力を目的としたフィールドに、引用符などの特別な記号を任意のSQLコードとともに挿入して、データベースシステムに実行させ、SQLインジェクションを実行できることを意味します 。

結果?

学校=> SELECT * FROM学生;
エラー:リレーション「students」は存在しません
1行目:SELECT * FROM学生;
                      ^

SQLインジェクションは、オペレーティングシステムまたはアプリケーションにおけるリモートの任意コード実行の脆弱性に相当するデータベースです。SQLインジェクション攻撃の成功による潜在的な影響を過小評価することはできません。データベースシステムとアプリケーションの構成によっては、攻撃者がデータの損失を引き起こしたり(この場合のように)、データへの不正アクセスを取得したり、実行したりする可能性があります。ホストマシン自体の任意のコード。

XKCDコミックで指摘されているように、SQLインジェクション攻撃から保護する1つの方法は、特殊文字をエスケープするなどしてデータベース入力をサニタイズすることです。これにより、基になるSQLコマンドを変更できず、任意のSQLコードが実行されなくなります。SqlParameterADO.NETでの使用など、パラメーター化されたクエリを使用する場合、SQLインジェクションを防ぐために、入力は少なくとも自動的にサニタイズされます。

ただし、アプリケーションレベルで入力をサニタイズしても、より高度なSQLインジェクション手法が停止しない場合があります。たとえば、mysql_real_escape_stringPHP関数を回避する方法があります。保護を強化するために、多くのデータベースシステムはプリペアドステートメントをサポートしています。バックエンドに適切に実装されている場合、プリペアドステートメントは、データ入力をコマンドの他の部分から意味的に分離されたものとして扱うことにより、SQLインジェクションを不可能にする可能性があります。

30
Dan Vinton 2008-12-02 11:56.

次のような学生作成方法を素朴に書いたとしましょう。

void createStudent(String name) {
    database.execute("INSERT INTO students (name) VALUES ('" + name + "')");
}

そして誰かが名前を入力します Robert'); DROP TABLE STUDENTS; --

データベースで実行されるのは、次のクエリです。

INSERT INTO students (name) VALUES ('Robert'); DROP TABLE STUDENTS --')

セミコロンは挿入コマンドを終了し、別のコマンドを開始します。-は残りの行をコメントアウトします。DROPTABLEコマンドが実行されます...

これが、バインドパラメータが良いことである理由です。

26
CodeAndCats 2008-12-02 12:03.

一重引用符は文字列の開始と終了です。セミコロンはステートメントの終わりです。したがって、次のような選択を行っている場合:

Select *
From Students
Where (Name = '<NameGetsInsertedHere>')

SQLは次のようになります。

Select *
From Students
Where (Name = 'Robert'); DROP TABLE STUDENTS; --')
--             ^-------------------------------^

一部のシステムでは、selectが最初に実行され、次にdropステートメントが実行されます。メッセージは次のとおりです。SQLに値を埋め込まないでください。代わりにパラメータを使用してください!

18
Jorn 2008-12-02 11:53.

');クエリを終了し、それがコメントを開始しません。次に、studentsテーブルを削除し、実行されるはずだった残りのクエリにコメントを付けます。

17
Paul Tomblin 2008-12-02 11:55.

The writer of the database probably did a

sql = "SELECT * FROM STUDENTS WHERE (STUDENT_NAME = '" + student_name + "') AND other stuff";
execute(sql);

If student_name is the one given, that does the selection with the name "Robert" and then drops the table. The "-- " part changes the rest of the given query into a comment.

17
Joel Coehoorn 2008-12-02 11:56.

In this case, ' is not a comment character. It's used to delimit string literals. The comic artist is banking on the idea that the school in question has dynamic sql somewhere that looks something like this:

$sql = "INSERT INTO `Students` (FirstName, LastName) VALUES ('" . $fname . "', '" . $lname . "')";

So now the ' character ends the string literal before the programmer was expecting it. Combined with the ; character to end the statement, an attacker can now add whatever sql they want. The -- comment at the end is to make sure any remaining sql in the original statement does not prevent the query from compiling on the server.

FWIW, I also think the comic in question has an important detail wrong: if you're thinking about sanitizing your database inputs, as the comic suggests, you're still doing it wrong. Instead, you should think in terms of quarantining your database inputs, and the correct way to do this is via parameterized queries.

16
Rockcoder 2008-12-02 11:54.

The ' character in SQL is used for string constants. In this case it is used for ending the string constant and not for comment.

7
Noname 2013-12-03 00:17.

This is how it works: Lets suppose the administrator is looking for records of student

Robert'); DROP TABLE STUDENTS; --

Since the admin account has high privileges deleting the table from this account is possible.

The code to retrieve user name from request is

Now the query would be something like this (to search the student table)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

The resultant query becomes

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

Since the user input is not sanitized, The above query has is manipulated into 2 parts

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

The double dash (--) will just comment out remaining part of the query.

This is dangerous as it can nullify password authentication, if present

The first one will do the normal search.

The second one will drop the table student if the account has sufficient privileges (Generally the school admin account will run such query and will have the privileges talked about above).

4
DevWL 2019-07-31 12:04.

You don't need to input form data to make SQL injection.

No one pointed this out before so through I might alert some of you.

Mostly we will try to patch forms input. But this is not the only place where you can get attacked with SQL injection. You can do very simple attack with URL which send data through GET request; Consider the fallowing example:

<a href="/show?id=1">show something</a>

Your url would look http://yoursite.com/show?id=1

Now someone could try something like this

http://yoursite.com/show?id=1;TRUNCATE table_name

Try to replace table_name with the real table name. If he get your table name right they would empty your table! (It is very easy to brut force this URL with simple script)

Your query would look something like this...

"SELECT * FROM page WHERE id = 4;TRUNCATE page"

Example of PHP vulnerable code using PDO:

<?php
...
$id = $_GET['id'];

$pdo = new PDO($database_dsn, $database_user, $database_pass);
$query = "SELECT * FROM page WHERE id = {$id}";
$stmt = $pdo->query($query); $data = $stmt->fetch(); 
/************* You have lost your data!!! :( *************/
...

Solution - use PDO prepare() & bindParam() methods:

<?php
...
$id = $_GET['id']; $query = 'SELECT * FROM page WHERE id = :idVal';
$stmt = $pdo->prepare($query); $stmt->bindParam('idVal', $id, PDO::PARAM_INT); $stmt->execute();
$data = $stmt->fetch();
/************* Your data is safe! :) *************/
...

Related questions

MORE COOL STUFF

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは3日間一緒に夫と一緒に寝て、25年経ってもまだ夫と結婚しています

ケイト・ブランシェットは、夫に会ったとき、典型的な交際のアドバイスに逆らいました。

マイケルシーンが非営利の俳優である理由

マイケルシーンが非営利の俳優である理由

マイケルシーンは非営利の俳優ですが、それは正確にはどういう意味ですか?

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

ホールマークスターのコリンエッグレスフィールドがRomaDramaLiveでスリル満点のファンと出会う![エクスクルーシブ]

特徴的なスターのコリン・エッグレスフィールドは、RomaDrama Liveでのスリル満点のファンとの出会いについて料理しました!加えて、大会での彼のINSPIREプログラム。

「たどりつけば」をオンラインでストリーミングできない理由

「たどりつけば」をオンラインでストリーミングできない理由

ノーザンエクスポージャーが90年代の最も人気のある番組の1つになった理由を確認するには、Blu-rayまたはDVDプレーヤーをほこりで払う必要があります。

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖:アクセスは簡単ではありませんが、ハイキングする価値があります

ドミニカのボイリング湖は、世界で2番目に大きいボイリング湖です。そこにたどり着くまでのトレッキングは大変で長いですが、努力する価値は十分にあります。

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

私たちの水をきれいに保つのを助けるためにあなたの髪を寄付してください

サロンからのヘアトリミングや個人的な寄付は、油流出を吸収して環境を保護するのに役立つマットとして再利用できます。

ホワイトハウスの最も記憶に残る結婚式を見てください

ホワイトハウスの最も記憶に残る結婚式を見てください

過去200年以上の間にホワイトハウスで結婚したのはほんの数人です。彼らは誰でしたか、そしてそこで結婚式を獲得するために何が必要ですか?

グッドジョブ、ESPN

グッドジョブ、ESPN

今日のホワイトハウスの記者会見で、報道官のサラ・ハッカビー・サンダースは、スポーツセンターのホストであるイェメル・ヒルのドナルド・トランプに関する最近のツイートについてコメントするよう求められ、大統領と彼の政策を白人至上主義者として説明した。ヒルは彼女のつぶやきのためにESPNによって公に叱責されました。

アマゾンからのこのレミントンツールセールで髪を整える、スタイルを整える、乾かす、または取り除く

アマゾンからのこのレミントンツールセールで髪を整える、スタイルを整える、乾かす、または取り除く

基本的に頭のあらゆる部分から髪の毛を整えたり、ブロードライしたり、まっすぐにしたり、脱毛したりする必要がある場合は、このレミントンゴールドボックスが最適です。今日だけ、Amazonは、すでに人気のあるShortcut Pro Self-HaircutKitやPearlPro Ceramic Flat Ironのように、グルーミングをはるかに簡単にするヘアツールをマークダウンしています。

カナダの元桂冠詩人が、史上最高の文化の盗用でトゥパックとマヤアンジェロウから盗んだ

カナダの元桂冠詩人が、史上最高の文化の盗用でトゥパックとマヤアンジェロウから盗んだ

トゥパックシャクール(ティムモーゼンフェルダー/ゲッティイメージズ); マヤアンジェロウ(マーティンゴッドウィン/ゲッティイメージズ)移動、テイラースウィフト。ケンドールとカイリーは、必要な数の座席を持っています。

テスラは、ハリケーンイルマによる避難を容易にするために、フロリダでの車両の範囲を拡大しています

テスラは、ハリケーンイルマによる避難を容易にするために、フロリダでの車両の範囲を拡大しています

写真:Tesla Motorsフロリダに住んでいて、Tesla Model S、Model X 60、またはModel 60Dを使用している場合、車の自律性は50 km(約30マイル)高くなります。これは失敗ではなく、ハリケーンイルマによる避難作業を容易にするために会社自身が命じた自治権の一時的な延長です。

Zendaya Wishes Boyfriend Tom Holland Happy Birthday with Cuddly Photo: He 'Makes Me the Happiest'

Zendaya Wishes Boyfriend Tom Holland Happy Birthday with Cuddly Photo: He 'Makes Me the Happiest'

Zendaya shared a sweet photo in honor of boyfriend Tom Holland's 26th birthday Wednesday

小さな女性:脳卒中を患った後に病院から解放されたアトランタのジューシーな赤ちゃん:「まだ癒し」

小さな女性:脳卒中を患った後に病院から解放されたアトランタのジューシーな赤ちゃん:「まだ癒し」

シーレン「Ms.JuicyBaby」ピアソンは、先月脳卒中で入院した後、「もう一度たくさんのことをする方法を学ばなければならない」ため、言語療法を受けていることを明らかにしました。

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

オスカー受賞者の世紀半ばの家には、3つのベッドルーム、2つのバス、オーシャンフロントの景色があります。

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、生後4か月の娘、モナコに母乳育児をしていると語った。

投資ノート:Bioscout AU$300万シード

投資ノート:Bioscout AU$300万シード

Bioscoutは、農家を運転席に置くという使命を負っています。Artesian(GrainInnovate)やUniseedと並んで、最新のシードラウンドでチームを支援できることをうれしく思います。問題真菌症による重大な作物の損失は、農民にとって試練であることが証明されています。

リトルマーケットリサーチ1| 2022年のクイックグリンプス遠隔医療市場

リトルマーケットリサーチ1| 2022年のクイックグリンプス遠隔医療市場

遠隔医療は、パンデミック後の時代では新しいものではなく、時代遅れの分野でもありません。しかし、業界を詳しく見ると、需要と供給の強力な持続可能性と、米国で絶え間ない革命となる強力な潜在的成長曲線を示しています。

スタートアップ資金調達環境:タイのスタートアップエコシステムの次は何ですか?

スタートアップ資金調達環境:タイのスタートアップエコシステムの次は何ですか?

2021年は、世界的なベンチャーキャピタル(VC)の資金調達にとって記録的な年でした。DealStreetAsiaによると、東南アジアも例外ではなく、この地域では年間で記録的な25の新しいユニコーンが採掘されました。

ムーアの法則を超えて

ムーアの法則を超えて

計算に対する私たちの欲求とムーアの法則が提供できるものとの間には、指数関数的に増大するギャップがあります。私たちの文明は計算に基づいています—建築と想像力の現在の限界を超える技術を見つけなければなりません。

Language