Может ли федеративный вход в систему (например, OpenID) представлять риск внедрения SQL?

Question

Можно ли считать, что все поставщики удостоверений безопасно обрабатывают информацию о пользователях, или же можно создать учетную запись или поставщика удостоверений для доставки злонамеренных имен пользователей, электронных писем, списков контактов и т. Д.?

Answer 1

Надежность существующих поставщиков не имеет значения . Злоумышленник может написать своего поставщика удостоверений и использовать его, чтобы отправить вам все, что он захочет. Вы практически никогда не должны доверять сторонним данным.

Answer 2

Даже если они не допускают такие символы, даже если спецификация запрещает такие символы, вы не должны на это полагаться.

Убедитесь, что при получении данных они соответствуют вашим ожиданиям.Кроме того, будьте осторожны и всегда используйте подготовленные операторы / параметризованные запросы без необходимости экранирования аргументов или, если это невозможно, экранирования аргументов запроса.Делайте это по привычке, и у вас не будет неприятных сюрпризов.

Answer 3

Никогда не думайте, что кто-то другой собирается очистить данные для вас. Сделайте это самостоятельно или (лучше) подключитесь к базе данных таким образом, чтобы предотвратить внедрение SQL путем правильного кодирования параметров.

Answer 4

У нас есть несколько человек, которые имеют апострофы в своем адресе электронной почты, это не является недействительным ... проблема не в апострофе, а в том, что кодеры не используют параметризованные запросы и / или хранимые процедуры.Действительно, никто не должен использовать встроенный SQL и объединять строки в эти дни, что предотвратит почти все атаки SQL-инъекций

Если вам нужно использовать динамический SQL, например, в SQL Server, тогда используйте sp_executeSQL с параметрами, а неEXEC ....