MS Access - предотвратить SQL-инъекцию в строке подключения

Похоже, что ваше беспокойство обосновано, о чем свидетельствует тот факт, что ADO.NET имеет набор Конструктор строк подключения (хотя точнее называть это« инъекцией строки подключения », а не« инъекцией SQL », поскольку здесь нет SQL). Поскольку вы не используете .NET, следующий лучший вариант - это очистка ввода и экранирование специальных символов. справочник MSDN о состояниях синтаксиса строки подключения OLEDB что:

Чтобы включить значения, содержащие точку с запятой, символ одинарной кавычки или символ двойной кавычки, значение должно быть заключено в двойные кавычки.

А также

Если значение содержит как одинарные, так и двойные кавычки, символ кавычки, используемый для заключения значения, должен удваиваться каждый раз, когда он встречается внутри значения.

Это VBScript, который я собрал, который пытается реализовать два приведенных выше правила:

Option Explicit

Dim pw, connStr, conn

pw = InputBox("Enter password")

' Sanitize double quotes in the input string
pw = Replace(pw, Chr(34), Chr(34) & Chr(34))

' Notice how pw is surrounded by double quote characters
connStr = "Provider=SQLOLEDB;Data Source=.\SQLEXPRESS;User ID=test_user;Password=" & Chr(34) & pw & Chr(34)

' Test the connection.  We'll get a runtime error if it didn't work
Set conn = CreateObject("ADODB.Connection")
conn.Open connStr
conn.Close
WScript.Echo "OK!"

Если бы мой пароль был app"le'\, строка подключения выглядела бы так:

Provider=SQLOLEDB;Data Source=.\SQLEXPRESS;User ID=test_user;Password="app""le'\"

Однако это работает не для всех возможных входов. Например, тестовый сценарий выдает ошибку, если пароль содержит двойные кавычки перед точкой с запятой. Возможно, я неправильно интерпретирую правила. Я не уверен, но надеюсь, это, по крайней мере, поможет вам начать.