CA3001: SQL 삽입 취약성에 대한 코드 검토
속성 | 값 |
규칙 ID | CA3001 |
제목 | 코드에서 SQL 주입 취약점에 대해 검토합니다. |
범주 | 보안 |
수정 사항이 주요 변경인지 여부 | 주요 변경 아님 |
.NET 9에서 기본적으로 사용 | 아니요 |
잠재적으로 신뢰할 수 없는 HTTP 요청 입력이 SQL 명령의 텍스트에 도달합니다.
기본적으로 이 규칙은 전체 코드베이스를 분석하지만 이는 구성 가능합니다.
규칙 설명
신뢰할 수 없는 입력 및 SQL 명령으로 작업하는 경우 SQL 삽입 공격에 유의해야 합니다. SQL 삽입 공격은 악성 SQL 명령을 실행하여 애플리케이션의 보안 및 무결성을 손상시킬 수 있습니다. 일반적인 방법에는 리터럴 문자열을 구분하기 위해 작은따옴표 또는 아포스트로피를 사용하거나, 주석에 두 개의 대시를 사용하거나, 문의 끝에 세미콜론을 사용하는 것 등이 있습니다. 자세한 내용은 SQL Injection을 참조하세요.
이 규칙은 SQL 명령의 텍스트에 도달하는 HTTP 요청에서 입력을 검색합니다.
참고 항목
이 규칙은 어셈블리 간에 데이터를 추적할 수 없습니다. 예를 들어 한 어셈블리가 HTTP 요청 입력을 읽은 다음 SQL 명령을 실행하는 다른 어셈블리에 전달하는 경우 이 규칙은 경고를 생성하지 않습니다.
참고 항목
이 규칙이 메서드 호출 간의 데이터 흐름을 분석하는 깊이에는 구성 가능한 제한이 있습니다. EditorConfig 파일에서 제한을 구성하는 방법은 분석기 구성을 참조하세요.
위반 문제를 해결하는 방법
매개 변수에 신뢰할 수 없는 입력을 포함하는 매개 변수가 있는 SQL 명령 또는 저장 프로시저를 사용합니다.
경고를 표시하지 않는 경우
입력이 알려진 안전한 문자 집합에 대해 항상 유효성 검사된다는 것을 아는 경우에는 이 규칙의 경고를 표시하지 않을 수 있습니다.
경고 표시 안 함
단일 위반만 표시하지 않으려면 원본 파일에 전처리기 지시문을 추가하여 규칙을 사용하지 않도록 설정한 후 다시 사용하도록 설정합니다.
#pragma warning disable CA3001
// The code that's violating the rule is on this line.
#pragma warning restore CA3001
파일, 폴더 또는 프로젝트에 대한 규칙을 사용하지 않도록 설정하려면 none
에서 심각도를 으로 설정합니다.
dotnet_diagnostic.CA3001.severity = none
자세한 내용은 방법: 코드 분석 경고 표시 안 함을 참조하세요.
분석할 코드 구성
다음 옵션을 사용하여 이 규칙이 실행될 코드베이스 부분을 구성합니다.
이 규칙, 적용되는 모든 규칙 또는 적용되는 이 범주의 모든 규칙(보안)에 대해 이러한 옵션을 구성할 수 있습니다. 자세한 내용은 코드 품질 규칙 구성 옵션을 참조하세요.
특정 기호 제외
excluded_symbol_names 옵션을 설정하여 분석에서 형식 및 메서드와 같은 특정 기호를 제외할 수 있습니다. 예를 들어 MyType
이라는 형식 내 코드에서 규칙을 실행하지 않도록 지정하려면 프로젝트의 .editorconfig 파일에 다음 키-값 쌍을 추가합니다.
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType
참고 항목
부분을 해당 규칙의 ID로 바꿉니다.
옵션 값의 허용되는 기호 이름 형식(|
로 구분):
- 기호 이름만(포함하는 형식 또는 네임스페이스와 관계없이 해당 이름의 모든 기호 포함).
- 기호의 설명서 ID 형식에 있는 정규화된 이름. 각 기호 이름에는 메서드의 경우
, 형식의 경우T:
, 네임스페이스의 경우N:
과 같은 기호 종류 접두사가 필요합니다. - 생성자의 경우
이고 정적 생성자의 경우.cctor
옵션 값 | 요약 |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType |
MyType 이라는 모든 기호와 일치합니다. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = MyType1|MyType2 |
MyType1 또는 MyType2 라는 모든 기호와 일치합니다. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS.MyType.MyMethod(ParamType) |
특정 메서드 MyMethod 를 지정된 정규화된 시그니처와 비교합니다. |
dotnet_code_quality.CAXXXX.excluded_symbol_names = M:NS1.MyType1.MyMethod1(ParamType)|M:NS2.MyType2.MyMethod2(ParamType) |
특정 메서드 MyMethod1 및 MyMethod2 를 개별 정규화된 시그니처와 비교합니다. |
특정 형식 및 해당 파생 형식 제외
excluded_type_names_with_derived_types 옵션을 설정하여 분석에서 특정 형식 및 해당 파생 형식을 제외할 수 있습니다. 예를 들어 MyType
이라는 형식 및 해당 파생 형식 내에 있는 메서드에서 규칙이 실행되지 않도록 지정하려면 프로젝트의 .editorconfig 파일에 다음 키-값 쌍을 추가합니다.
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType
참고 항목
부분을 해당 규칙의 ID로 바꿉니다.
옵션 값의 허용되는 기호 이름 형식(|
로 구분):
- 형식 이름만(포함하는 형식이나 네임스페이스와 관계없이 해당 이름의 모든 형식 포함)
- 기호의 설명서 ID 형식에 있는 정규화된 이름(선택적
접두사 포함)
옵션 값 | 요약 |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType |
MyType 이라는 모든 형식 및 모든 해당 파생 형식과 일치합니다. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = MyType1|MyType2 |
MyType1 또는 MyType2 라는 모든 형식 및 모든 해당 파생 형식과 일치합니다. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS.MyType |
지정된 정규화된 이름의 특정 MyType 형식 및 모든 해당 파생 형식과 일치합니다. |
dotnet_code_quality.CAXXXX.excluded_type_names_with_derived_types = M:NS1.MyType1|M:NS2.MyType2 |
개별 정규화된 이름의 특정 MyType1 , MyType2 형식 및 모든 해당 파생 형식과 일치합니다. |
의사 코드 예제
using System;
using System.Data;
using System.Data.SqlClient;
namespace TestNamespace
public partial class WebForm : System.Web.UI.Page
public static string ConnectionString { get; set; }
protected void Page_Load(object sender, EventArgs e)
string name = Request.Form["product_name"];
using (SqlConnection connection = new SqlConnection(ConnectionString))
SqlCommand sqlCommand = new SqlCommand()
CommandText = "SELECT ProductId FROM Products WHERE ProductName = '" + name + "'",
CommandType = CommandType.Text,
SqlDataReader reader = sqlCommand.ExecuteReader();
Imports System
Imports System.Data
Imports System.Data.SqlClient
Imports System.Linq
Namespace VulnerableWebApp
Partial Public Class WebForm
Inherits System.Web.UI.Page
Public Property ConnectionString As String
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim name As String = Me.Request.Form("product_name")
Using connection As SqlConnection = New SqlConnection(ConnectionString)
Dim sqlCommand As SqlCommand = New SqlCommand With {.CommandText = "SELECT ProductId FROM Products WHERE ProductName = '" + name + "'",
.CommandType = CommandType.Text}
Dim reader As SqlDataReader = sqlCommand.ExecuteReader()
End Using
End Sub
End Class
End Namespace
매개 변수가 있는 솔루션
using System;
using System.Data;
using System.Data.SqlClient;
namespace TestNamespace
public partial class WebForm : System.Web.UI.Page
public static string ConnectionString { get; set; }
protected void Page_Load(object sender, EventArgs e)
string name = Request.Form["product_name"];
using (SqlConnection connection = new SqlConnection(ConnectionString))
SqlCommand sqlCommand = new SqlCommand()
CommandText = "SELECT ProductId FROM Products WHERE ProductName = @productName",
CommandType = CommandType.Text,
sqlCommand.Parameters.Add("@productName", SqlDbType.NVarChar, 128).Value = name;
SqlDataReader reader = sqlCommand.ExecuteReader();
Imports System
Imports System.Data
Imports System.Data.SqlClient
Imports System.Linq
Namespace VulnerableWebApp
Partial Public Class WebForm
Inherits System.Web.UI.Page
Public Property ConnectionString As String
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim name As String = Me.Request.Form("product_name")
Using connection As SqlConnection = New SqlConnection(ConnectionString)
Dim sqlCommand As SqlCommand = New SqlCommand With {.CommandText = "SELECT ProductId FROM Products WHERE ProductName = @productName",
.CommandType = CommandType.Text}
sqlCommand.Parameters.Add("@productName", SqlDbType.NVarChar, 128).Value = name
Dim reader As SqlDataReader = sqlCommand.ExecuteReader()
End Using
End Sub
End Class
End Namespace
저장 프로시저 솔루션
using System;
using System.Data;
using System.Data.SqlClient;
namespace TestNamespace
public partial class WebForm : System.Web.UI.Page
public static string ConnectionString { get; set; }
protected void Page_Load(object sender, EventArgs e)
string name = Request.Form["product_name"];
using (SqlConnection connection = new SqlConnection(ConnectionString))
SqlCommand sqlCommand = new SqlCommand()
CommandText = "sp_GetProductIdFromName",
CommandType = CommandType.StoredProcedure,
sqlCommand.Parameters.Add("@productName", SqlDbType.NVarChar, 128).Value = name;
SqlDataReader reader = sqlCommand.ExecuteReader();
Imports System
Imports System.Data
Imports System.Data.SqlClient
Imports System.Linq
Namespace VulnerableWebApp
Partial Public Class WebForm
Inherits System.Web.UI.Page
Public Property ConnectionString As String
Protected Sub Page_Load(sender As Object, e As EventArgs)
Dim name As String = Me.Request.Form("product_name")
Using connection As SqlConnection = New SqlConnection(ConnectionString)
Dim sqlCommand As SqlCommand = New SqlCommand With {.CommandText = "sp_GetProductIdFromName",
.CommandType = CommandType.StoredProcedure}
sqlCommand.Parameters.Add("@productName", SqlDbType.NVarChar, 128).Value = name
Dim reader As SqlDataReader = sqlCommand.ExecuteReader()
End Using
End Sub
End Class
End Namespace