Có một số trường hợp mà chức năng thoát này sẽ bị lỗi. Rõ ràng nhất là khi một trích dẫn duy nhất không được sử dụng:
string table= "\"" + table.Replace("'", "''") + "\""
string var= "`" + var.Replace("'", "''") + "`"
string index= " " + index.Replace("'", "''") + " "
string query = "select * from `"+table+"` where name=\""+var+"\" or id="+index
Trong trường hợp này, bạn có thể "đột phá" bằng cách sử dụng dấu ngoặc kép, dấu tích ngược. Trong trường hợp cuối cùng, không có gì để "thoát ra", vì vậy bạn chỉ có thể viết 1 union select password from users-- hoặc bất kỳ tải trọng sql nào mà kẻ tấn công mong muốn.
Điều kiện tiếp theo mà hàm thoát này sẽ không thành công là nếu một chuỗi con được sử dụng sau khi chuỗi được thoát (và có Tôi đã tìm thấy các lỗ hổng như thế này trong tự nhiên):
string userPassword= userPassword.Replace("'", "''")
string userName= userInput.Replace("'", "''")
userName = substr(userName,0,10)
string query = "select * from users where name='"+userName+"' and password='"+userPassword+"'";
Trong trường hợp này, tên người dùng của abcdefgji' sẽ được chuyển thành abcdefgji'' bằng hàm thoát và sau đó quay lại thành abcdefgji' bằng cách lấy chuỗi con. Điều này có thể được khai thác bằng cách đặt giá trị mật khẩu cho bất kỳ câu lệnh sql nào, trong trường hợp này là or 1=1-- sẽ được hiểu là sql và tên người dùng sẽ được hiểu là abcdefgji'' and password= . Truy vấn kết quả như sau:
select * from users where name='abcdefgji'' and password=' or 1=1--
T-SQL và các kỹ thuật tiêm sql nâng cao khác đã được đề cập. Advanced SQL Injection In SQL Server Applications là một bài báo tuyệt vời và bạn nên đọc nó nếu bạn chưa đọc.
Vấn đề cuối cùng là các cuộc tấn công unicode. Lớp lỗ hổng này phát sinh do hàm thoát không biết mã hóa nhiều byte và điều này có thể bị kẻ tấn công sử dụng để "tiêu thụ" ký tự thoát. Việc thêm "N" vào chuỗi sẽ không hữu ích, vì điều này không ảnh hưởng đến giá trị của các ký tự nhiều byte sau này trong chuỗi. Tuy nhiên, kiểu tấn công này rất không phổ biến vì cơ sở dữ liệu phải được định cấu hình để chấp nhận chuỗi unicode GBK (và tôi không chắc rằng MS-SQL có thể thực hiện điều này).
Vẫn có thể tiêm mã Second-Order, kiểu tấn công này được tạo ra bằng cách tin tưởng vào các nguồn dữ liệu do kẻ tấn công kiểm soát. Thoát được sử dụng để biểu thị các ký tự điều khiển dưới dạng ký tự của chúng. Nếu nhà phát triển quên thoát giá trị thu được từ select và sau đó sử dụng giá trị này trong một truy vấn khác rồi đến bam kẻ tấn công sẽ có một câu trích dẫn đơn theo nghĩa đen của ký tự theo ý của họ.
Kiểm tra mọi thứ, không tin tưởng gì.
