Documentation Source Text

Hex Artifact Content
Login

Artifact 0f65efed06dc63d9193ba2236edf919b0c3973b33a0f4308b8d9b124a65fb050:


0000: 3c 74 69 74 6c 65 3e 44 65 66 65 6e 73 65 20 41  <title>Defense A
0010: 67 61 69 6e 73 74 20 44 61 72 6b 20 41 72 74 73  gainst Dark Arts
0020: 3c 2f 74 69 74 6c 65 3e 0a 3c 74 63 6c 3e 68 64  </title>.<tcl>hd
0030: 5f 6b 65 79 77 6f 72 64 73 20 73 65 63 75 72 69  _keywords securi
0040: 74 79 20 7b 61 74 74 61 63 6b 20 72 65 73 69 73  ty {attack resis
0050: 74 61 6e 63 65 7d 20 5c 0a 20 20 7b 64 65 66 65  tance} \.  {defe
0060: 6e 73 65 20 61 67 61 69 6e 73 74 20 64 61 72 6b  nse against dark
0070: 20 61 72 74 73 7d 3c 2f 74 63 6c 3e 0a 3c 66 61   arts}</tcl>.<fa
0080: 6e 63 79 5f 66 6f 72 6d 61 74 3e 0a 0a 3c 68 31  ncy_format>..<h1
0090: 3e 53 51 4c 69 74 65 20 41 6c 77 61 79 73 20 56  >SQLite Always V
00a0: 61 6c 69 64 61 74 65 73 20 49 74 73 20 49 6e 70  alidates Its Inp
00b0: 75 74 73 3c 2f 68 31 3e 0a 0a 3c 70 3e 0a 53 51  uts</h1>..<p>.SQ
00c0: 4c 69 74 65 20 73 68 6f 75 6c 64 20 6e 65 76 65  Lite should neve
00d0: 72 20 63 72 61 73 68 2c 20 6f 76 65 72 66 6c 6f  r crash, overflo
00e0: 77 20 61 20 62 75 66 66 65 72 2c 20 6c 65 61 6b  w a buffer, leak
00f0: 20 6d 65 6d 6f 72 79 2c 0a 6f 72 20 65 78 68 69   memory,.or exhi
0100: 62 69 74 20 61 6e 79 20 6f 74 68 65 72 20 68 61  bit any other ha
0110: 72 6d 66 75 6c 20 62 65 68 61 76 69 6f 72 2c 20  rmful behavior, 
0120: 65 76 65 6e 20 77 68 65 6e 20 70 72 65 73 65 6e  even when presen
0130: 74 65 64 20 77 69 74 68 0a 6d 61 6c 69 63 69 6f  ted with.malicio
0140: 75 73 6c 79 20 6d 61 6c 66 6f 72 6d 65 64 20 53  usly malformed S
0150: 51 4c 20 69 6e 70 75 74 73 20 6f 72 20 64 61 74  QL inputs or dat
0160: 61 62 61 73 65 20 66 69 6c 65 73 2e 20 20 53 51  abase files.  SQ
0170: 4c 69 74 65 20 73 68 6f 75 6c 64 0a 61 6c 77 61  Lite should.alwa
0180: 79 73 20 64 65 74 65 63 74 20 65 72 72 6f 6e 65  ys detect errone
0190: 6f 75 73 20 69 6e 70 75 74 73 20 61 6e 64 20 72  ous inputs and r
01a0: 61 69 73 65 20 61 6e 20 65 72 72 6f 72 2c 20 6e  aise an error, n
01b0: 6f 74 20 63 72 61 73 68 20 6f 72 0a 63 6f 72 72  ot crash or.corr
01c0: 75 70 74 20 6d 65 6d 6f 72 79 2e 0a 41 6e 79 20  upt memory..Any 
01d0: 6d 61 6c 66 75 6e 63 74 69 6f 6e 20 63 61 75 73  malfunction caus
01e0: 65 64 20 62 79 20 61 6e 20 53 51 4c 20 69 6e 70  ed by an SQL inp
01f0: 75 74 20 6f 72 20 64 61 74 61 62 61 73 65 20 66  ut or database f
0200: 69 6c 65 0a 69 73 20 63 6f 6e 73 69 64 65 72 65  ile.is considere
0210: 64 20 61 20 73 65 72 69 6f 75 73 20 62 75 67 20  d a serious bug 
0220: 61 6e 64 20 77 69 6c 6c 20 62 65 20 70 72 6f 6d  and will be prom
0230: 70 74 6c 79 20 61 64 64 72 65 73 73 65 64 20 77  ptly addressed w
0240: 68 65 6e 0a 62 72 6f 75 67 68 74 20 74 6f 20 74  hen.brought to t
0250: 68 65 20 61 74 74 65 6e 74 69 6f 6e 20 6f 66 20  he attention of 
0260: 74 68 65 20 53 51 4c 69 74 65 20 64 65 76 65 6c  the SQLite devel
0270: 6f 70 65 72 73 2e 20 20 53 51 4c 69 74 65 20 69  opers.  SQLite i
0280: 73 0a 65 78 74 65 6e 73 69 76 65 6c 79 20 66 75  s.extensively fu
0290: 7a 7a 2d 74 65 73 74 65 64 20 74 6f 20 68 65 6c  zz-tested to hel
02a0: 70 20 65 6e 73 75 72 65 20 74 68 61 74 20 69 74  p ensure that it
02b0: 20 69 73 20 72 65 73 69 73 74 61 6e 74 0a 74 6f   is resistant.to
02c0: 20 74 68 65 73 65 20 6b 69 6e 64 73 20 6f 66 20   these kinds of 
02d0: 65 72 72 6f 72 73 2e 0a 0a 3c 70 3e 0a 4e 65 76  errors...<p>.Nev
02e0: 65 72 74 68 65 6c 65 73 73 2c 20 62 75 67 73 20  ertheless, bugs 
02f0: 68 61 70 70 65 6e 2e 0a 49 66 20 79 6f 75 20 61  happen..If you a
0300: 72 65 20 77 72 69 74 69 6e 67 20 61 6e 20 61 70  re writing an ap
0310: 70 6c 69 63 61 74 69 6f 6e 20 74 68 61 74 20 73  plication that s
0320: 65 6e 64 73 20 75 6e 74 72 75 73 74 65 64 20 53  ends untrusted S
0330: 51 4c 20 69 6e 70 75 74 73 0a 6f 72 20 64 61 74  QL inputs.or dat
0340: 61 62 61 73 65 20 66 69 6c 65 73 20 74 6f 20 53  abase files to S
0350: 51 4c 69 74 65 2c 20 74 68 65 72 65 20 61 72 65  QLite, there are
0360: 20 61 64 64 69 74 69 6f 6e 61 6c 20 73 74 65 70   additional step
0370: 73 20 79 6f 75 20 63 61 6e 20 74 61 6b 65 0a 74  s you can take.t
0380: 6f 20 68 65 6c 70 20 72 65 64 75 63 65 20 74 68  o help reduce th
0390: 65 20 61 74 74 61 63 6b 20 73 75 72 66 61 63 65  e attack surface
03a0: 20 61 6e 64 0a 70 72 65 76 65 6e 74 20 7a 65 72   and.prevent zer
03b0: 6f 2d 64 61 79 20 65 78 70 6c 6f 69 74 73 20 63  o-day exploits c
03c0: 61 75 73 65 64 20 62 79 20 75 6e 64 65 74 65 63  aused by undetec
03d0: 74 65 64 20 62 75 67 73 2e 0a 0a 3c 68 32 3e 55  ted bugs...<h2>U
03e0: 6e 74 72 75 73 74 65 64 20 53 51 4c 20 49 6e 70  ntrusted SQL Inp
03f0: 75 74 73 3c 2f 68 32 3e 0a 3c 70 3e 0a 41 70 70  uts</h2>.<p>.App
0400: 6c 69 63 61 74 69 6f 6e 73 20 74 68 61 74 20 61  lications that a
0410: 63 63 65 70 74 20 75 6e 74 72 75 73 74 65 64 20  ccept untrusted 
0420: 53 51 4c 20 69 6e 70 75 74 73 20 73 68 6f 75 6c  SQL inputs shoul
0430: 64 20 74 61 6b 65 20 74 68 65 20 66 6f 6c 6c 6f  d take the follo
0440: 77 69 6e 67 0a 70 72 65 63 61 75 74 69 6f 6e 73  wing.precautions
0450: 3a 0a 0a 3c 6f 6c 3e 0a 3c 6c 69 3e 3c 70 3e 0a  :..<ol>.<li><p>.
0460: 53 65 74 20 74 68 65 20 5b 53 51 4c 49 54 45 5f  Set the [SQLITE_
0470: 44 42 43 4f 4e 46 49 47 5f 44 45 46 45 4e 53 49  DBCONFIG_DEFENSI
0480: 56 45 5d 20 66 6c 61 67 2e 0a 54 68 69 73 20 70  VE] flag..This p
0490: 72 65 76 65 6e 74 73 20 6f 72 64 69 6e 61 72 79  revents ordinary
04a0: 20 53 51 4c 20 73 74 61 74 65 6d 65 6e 74 73 20   SQL statements 
04b0: 66 72 6f 6d 20 64 65 6c 69 62 65 72 61 74 65 6c  from deliberatel
04c0: 79 20 63 6f 72 72 75 70 74 69 6e 67 20 74 68 65  y corrupting the
04d0: 20 0a 64 61 74 61 62 61 73 65 20 66 69 6c 65 2e   .database file.
04e0: 20 20 53 51 4c 69 74 65 20 73 68 6f 75 6c 64 20    SQLite should 
04f0: 62 65 20 70 72 6f 6f 66 20 61 67 61 69 6e 73 74  be proof against
0500: 20 61 74 74 61 63 6b 73 20 74 68 61 74 20 69 6e   attacks that in
0510: 76 6f 6c 76 65 20 62 6f 74 68 0a 6d 61 6c 69 63  volve both.malic
0520: 69 6f 75 73 20 53 51 4c 20 69 6e 70 75 74 73 20  ious SQL inputs 
0530: 61 6e 64 20 61 20 6d 61 6c 69 63 69 6f 75 73 6c  and a maliciousl
0540: 79 20 63 6f 72 72 75 70 74 65 64 20 64 61 74 61  y corrupted data
0550: 62 61 73 65 20 66 69 6c 65 20 61 74 20 74 68 65  base file at the
0560: 0a 73 61 6d 65 20 74 69 6d 65 2e 20 20 4e 65 76  .same time.  Nev
0570: 65 72 74 68 65 6c 65 73 73 2c 20 64 65 6e 79 69  ertheless, denyi
0580: 6e 67 20 61 20 73 63 72 69 70 74 2d 6f 6e 6c 79  ng a script-only
0590: 20 61 74 74 61 63 6b 65 72 20 61 63 63 65 73 73   attacker access
05a0: 20 74 6f 20 0a 63 6f 72 72 75 70 74 20 64 61 74   to .corrupt dat
05b0: 61 62 61 73 65 20 69 6e 70 75 74 73 20 70 72 6f  abase inputs pro
05c0: 76 69 64 65 73 20 61 6e 20 65 78 74 72 61 20 6c  vides an extra l
05d0: 61 79 65 72 20 6f 66 20 64 65 66 65 6e 73 65 2e  ayer of defense.
05e0: 0a 0a 3c 6c 69 3e 3c 70 3e 0a 52 65 64 75 63 65  ..<li><p>.Reduce
05f0: 20 74 68 65 20 5b 6c 69 6d 69 74 73 5d 20 74 68   the [limits] th
0600: 61 74 20 53 51 4c 69 74 65 20 69 6d 70 6f 73 65  at SQLite impose
0610: 73 20 6f 6e 20 69 6e 70 75 74 73 2e 20 20 54 68  s on inputs.  Th
0620: 69 73 20 63 61 6e 20 68 65 6c 70 20 70 72 65 76  is can help prev
0630: 65 6e 74 0a 64 65 6e 69 61 6c 20 6f 66 20 73 65  ent.denial of se
0640: 72 76 69 63 65 20 61 74 74 61 63 6b 73 20 61 6e  rvice attacks an
0650: 64 20 6f 74 68 65 72 20 6b 69 6e 64 73 20 6f 66  d other kinds of
0660: 20 6d 69 73 63 68 69 65 66 20 74 68 61 74 20 63   mischief that c
0670: 61 6e 20 6f 63 63 75 72 0a 61 73 20 61 20 72 65  an occur.as a re
0680: 73 75 6c 74 20 6f 66 20 75 6e 75 73 75 61 6c 6c  sult of unusuall
0690: 79 20 6c 61 72 67 65 20 69 6e 70 75 74 73 2e 20  y large inputs. 
06a0: 20 59 6f 75 20 63 61 6e 20 64 6f 20 74 68 69 73   You can do this
06b0: 20 65 69 74 68 65 72 20 61 74 20 63 6f 6d 70 69   either at compi
06c0: 6c 65 2d 74 69 6d 65 0a 75 73 69 6e 67 20 2d 44  le-time.using -D
06d0: 53 51 4c 49 54 45 5f 4d 41 58 5f 2e 2e 2e 20 6f  SQLITE_MAX_... o
06e0: 70 74 69 6f 6e 73 2c 20 6f 72 20 61 74 20 72 75  ptions, or at ru
06f0: 6e 2d 74 69 6d 65 20 75 73 69 6e 67 20 74 68 65  n-time using the
0700: 0a 5b 73 71 6c 69 74 65 33 5f 6c 69 6d 69 74 28  .[sqlite3_limit(
0710: 29 5d 20 69 6e 74 65 72 66 61 63 65 2e 20 20 4d  )] interface.  M
0720: 6f 73 74 20 61 70 70 6c 69 63 61 74 69 6f 6e 73  ost applications
0730: 20 63 61 6e 20 72 65 64 75 63 65 20 6c 69 6d 69   can reduce limi
0740: 74 73 0a 64 72 61 6d 61 74 69 63 61 6c 6c 79 20  ts.dramatically 
0750: 77 69 74 68 6f 75 74 20 69 6d 70 61 63 74 69 6e  without impactin
0760: 67 20 66 75 6e 63 74 69 6f 6e 61 6c 69 74 79 2e  g functionality.
0770: 20 20 54 68 65 20 74 61 62 6c 65 20 62 65 6c 6f    The table belo
0780: 77 0a 70 72 6f 76 69 64 65 73 20 73 6f 6d 65 20  w.provides some 
0790: 73 75 67 67 65 73 74 69 6f 6e 73 2c 20 74 68 6f  suggestions, tho
07a0: 75 67 68 20 65 78 61 63 74 20 76 61 6c 75 65 73  ugh exact values
07b0: 20 77 69 6c 6c 20 76 61 72 79 20 64 65 70 65 6e   will vary depen
07c0: 64 69 6e 67 0a 6f 6e 20 74 68 65 20 61 70 70 6c  ding.on the appl
07d0: 69 63 61 74 69 6f 6e 3a 0a 0a 3c 74 61 62 6c 65  ication:..<table
07e0: 20 62 6f 72 64 65 72 3d 22 31 22 20 63 65 6c 6c   border="1" cell
07f0: 73 70 61 63 69 6e 67 3d 22 30 22 3e 0a 3c 74 72  spacing="0">.<tr
0800: 3e 3c 74 68 3e 4c 69 6d 69 74 20 53 65 74 74 69  ><th>Limit Setti
0810: 6e 67 3c 74 68 3e 44 65 66 61 75 6c 74 20 56 61  ng<th>Default Va
0820: 6c 75 65 3c 74 68 3e 48 69 67 68 2d 73 65 63 75  lue<th>High-secu
0830: 72 69 74 79 20 56 61 6c 75 65 0a 3c 74 72 3e 3c  rity Value.<tr><
0840: 74 64 3e 4c 49 4d 49 54 5f 4c 45 4e 47 54 48 3c  td>LIMIT_LENGTH<
0850: 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74 22  td align="right"
0860: 3e 31 2c 30 30 30 2c 30 30 30 2c 30 30 30 3c 74  >1,000,000,000<t
0870: 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e  d align="right">
0880: 31 2c 30 30 30 2c 30 30 30 0a 3c 74 72 3e 3c 74  1,000,000.<tr><t
0890: 64 3e 4c 49 4d 49 54 5f 53 51 4c 5f 4c 45 4e 47  d>LIMIT_SQL_LENG
08a0: 54 48 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67  TH<td align="rig
08b0: 68 74 22 3e 31 2c 30 30 30 2c 30 30 30 2c 30 30  ht">1,000,000,00
08c0: 30 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68  0<td align="righ
08d0: 74 22 3e 31 30 30 2c 30 30 30 0a 3c 74 72 3e 3c  t">100,000.<tr><
08e0: 74 64 3e 4c 49 4d 49 54 5f 43 4f 4c 55 4d 4e 3c  td>LIMIT_COLUMN<
08f0: 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74 22  td align="right"
0900: 3e 32 2c 30 30 30 3c 74 64 20 61 6c 69 67 6e 3d  >2,000<td align=
0910: 22 72 69 67 68 74 22 3e 31 30 30 0a 3c 74 72 3e  "right">100.<tr>
0920: 3c 74 64 3e 4c 49 4d 49 54 5f 45 58 50 52 5f 44  <td>LIMIT_EXPR_D
0930: 45 50 54 48 3c 74 64 20 61 6c 69 67 6e 3d 22 72  EPTH<td align="r
0940: 69 67 68 74 22 3e 31 2c 30 30 30 3c 74 64 20 61  ight">1,000<td a
0950: 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 31 30 0a  lign="right">10.
0960: 3c 74 72 3e 3c 74 64 3e 4c 49 4d 49 54 5f 43 4f  <tr><td>LIMIT_CO
0970: 4d 50 4f 55 4e 44 5f 53 45 4c 45 43 54 3c 74 64  MPOUND_SELECT<td
0980: 20 61 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 35   align="right">5
0990: 30 30 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67  00<td align="rig
09a0: 68 74 22 3e 33 0a 3c 74 72 3e 3c 74 64 3e 4c 49  ht">3.<tr><td>LI
09b0: 4d 49 54 5f 56 44 42 45 5f 4f 50 3c 74 64 20 61  MIT_VDBE_OP<td a
09c0: 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 32 35 30  lign="right">250
09d0: 2c 30 30 30 2c 30 30 30 3c 74 64 20 61 6c 69 67  ,000,000<td alig
09e0: 6e 3d 22 72 69 67 68 74 22 3e 32 35 2c 30 30 30  n="right">25,000
09f0: 0a 3c 74 72 3e 3c 74 64 3e 4c 49 4d 49 54 5f 46  .<tr><td>LIMIT_F
0a00: 55 4e 43 54 49 4f 4e 5f 41 52 47 3c 74 64 20 61  UNCTION_ARG<td a
0a10: 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 31 32 37  lign="right">127
0a20: 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74  <td align="right
0a30: 22 3e 38 0a 3c 74 72 3e 3c 74 64 3e 4c 49 4d 49  ">8.<tr><td>LIMI
0a40: 54 5f 41 54 54 41 43 48 3c 74 64 20 61 6c 69 67  T_ATTACH<td alig
0a50: 6e 3d 22 72 69 67 68 74 22 3e 31 30 3c 74 64 20  n="right">10<td 
0a60: 61 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 30 0a  align="right">0.
0a70: 3c 74 72 3e 3c 74 64 3e 4c 49 4d 49 54 5f 4c 49  <tr><td>LIMIT_LI
0a80: 4b 45 5f 50 41 54 54 45 52 4e 5f 4c 45 4e 47 54  KE_PATTERN_LENGT
0a90: 48 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68  H<td align="righ
0aa0: 74 22 3e 35 30 2c 30 30 30 3c 74 64 20 61 6c 69  t">50,000<td ali
0ab0: 67 6e 3d 22 72 69 67 68 74 22 3e 35 30 0a 3c 74  gn="right">50.<t
0ac0: 72 3e 3c 74 64 3e 4c 49 4d 49 54 5f 56 41 52 49  r><td>LIMIT_VARI
0ad0: 41 42 4c 45 5f 4e 55 4d 42 45 52 3c 74 64 20 61  ABLE_NUMBER<td a
0ae0: 6c 69 67 6e 3d 22 72 69 67 68 74 22 3e 39 39 39  lign="right">999
0af0: 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74  <td align="right
0b00: 22 3e 31 30 0a 3c 74 72 3e 3c 74 64 3e 4c 49 4d  ">10.<tr><td>LIM
0b10: 49 54 5f 54 52 49 47 47 45 52 5f 44 45 50 54 48  IT_TRIGGER_DEPTH
0b20: 3c 74 64 20 61 6c 69 67 6e 3d 22 72 69 67 68 74  <td align="right
0b30: 22 3e 31 2c 30 30 30 3c 74 64 20 61 6c 69 67 6e  ">1,000<td align
0b40: 3d 22 72 69 67 68 74 22 3e 31 30 0a 3c 2f 74 61  ="right">10.</ta
0b50: 62 6c 65 3e 0a 0a 3c 6c 69 3e 3c 70 3e 0a 43 6f  ble>..<li><p>.Co
0b60: 6e 73 69 64 65 72 20 75 73 69 6e 67 20 74 68 65  nsider using the
0b70: 20 5b 73 71 6c 69 74 65 33 5f 73 65 74 5f 61 75   [sqlite3_set_au
0b80: 74 68 6f 72 69 7a 65 72 28 29 5d 20 69 6e 74 65  thorizer()] inte
0b90: 72 66 61 63 65 20 74 6f 20 6c 69 6d 69 74 0a 74  rface to limit.t
0ba0: 68 65 20 73 63 6f 70 65 20 6f 66 20 53 51 4c 20  he scope of SQL 
0bb0: 74 68 61 74 20 77 69 6c 6c 20 62 65 20 70 72 6f  that will be pro
0bc0: 63 65 73 73 65 64 2e 20 20 46 6f 72 20 65 78 61  cessed.  For exa
0bd0: 6d 70 6c 65 2c 20 61 6e 20 61 70 70 6c 69 63 61  mple, an applica
0be0: 74 69 6f 6e 0a 74 68 61 74 20 64 6f 65 73 20 6e  tion.that does n
0bf0: 6f 74 20 6e 65 65 64 20 74 6f 20 63 68 61 6e 67  ot need to chang
0c00: 65 20 74 68 65 20 64 61 74 61 62 61 73 65 20 73  e the database s
0c10: 63 68 65 6d 61 20 6d 69 67 68 74 20 61 64 64 20  chema might add 
0c20: 61 6e 0a 73 71 6c 69 74 65 33 5f 73 65 74 5f 61  an.sqlite3_set_a
0c30: 75 74 68 6f 72 69 7a 65 72 28 29 20 63 61 6c 6c  uthorizer() call
0c40: 62 61 63 6b 20 74 68 61 74 20 63 61 75 73 65 73  back that causes
0c50: 20 61 6e 79 20 43 52 45 41 54 45 20 6f 72 20 44   any CREATE or D
0c60: 52 4f 50 0a 73 74 61 74 65 6d 65 6e 74 20 74 6f  ROP.statement to
0c70: 20 66 61 69 6c 2e 0a 0a 3c 6c 69 3e 3c 70 3e 0a   fail...<li><p>.
0c80: 54 68 65 20 53 51 4c 20 6c 61 6e 67 75 61 67 65  The SQL language
0c90: 20 69 73 20 76 65 72 79 20 70 6f 77 65 72 66 75   is very powerfu
0ca0: 6c 2c 20 61 6e 64 20 73 6f 20 69 74 20 69 73 20  l, and so it is 
0cb0: 61 6c 77 61 79 73 20 70 6f 73 73 69 62 6c 65 20  always possible 
0cc0: 66 6f 72 0a 6d 61 6c 69 63 69 6f 75 73 20 53 51  for.malicious SQ
0cd0: 4c 20 69 6e 70 75 74 73 20 28 6f 72 20 65 72 72  L inputs (or err
0ce0: 6f 6e 65 6f 75 73 20 53 51 4c 20 69 6e 70 75 74  oneous SQL input
0cf0: 73 20 63 61 75 73 65 64 20 62 79 20 61 6e 20 61  s caused by an a
0d00: 70 70 6c 69 63 61 74 69 6f 6e 0a 62 75 67 29 20  pplication.bug) 
0d10: 74 6f 20 73 75 62 6d 69 74 20 53 51 4c 20 74 68  to submit SQL th
0d20: 61 74 20 72 75 6e 73 20 66 6f 72 20 61 20 76 65  at runs for a ve
0d30: 72 79 20 6c 6f 6e 67 20 74 69 6d 65 2e 20 20 54  ry long time.  T
0d40: 6f 20 70 72 65 76 65 6e 74 20 74 68 69 73 0a 66  o prevent this.f
0d50: 72 6f 6d 20 62 65 63 6f 6d 69 6e 67 20 61 20 64  rom becoming a d
0d60: 65 6e 69 61 6c 2d 6f 66 2d 73 65 72 76 69 63 65  enial-of-service
0d70: 20 61 74 74 61 63 6b 2c 20 63 6f 6e 73 69 64 65   attack, conside
0d80: 72 20 75 73 69 6e 67 20 74 68 65 0a 5b 73 71 6c  r using the.[sql
0d90: 69 74 65 33 5f 70 72 6f 67 72 65 73 73 5f 68 61  ite3_progress_ha
0da0: 6e 64 6c 65 72 28 29 5d 20 69 6e 74 65 72 66 61  ndler()] interfa
0db0: 63 65 20 74 6f 20 69 6e 76 6f 6b 65 20 61 20 63  ce to invoke a c
0dc0: 61 6c 6c 62 61 63 6b 20 70 65 72 69 6f 64 69 63  allback periodic
0dd0: 61 6c 6c 79 0a 61 73 20 65 61 63 68 20 53 51 4c  ally.as each SQL
0de0: 20 73 74 61 74 65 6d 65 6e 74 20 72 75 6e 73 2c   statement runs,
0df0: 20 61 6e 64 20 68 61 76 65 20 74 68 61 74 20 63   and have that c
0e00: 61 6c 6c 62 61 63 6b 20 72 65 74 75 72 6e 20 6e  allback return n
0e10: 6f 6e 2d 7a 65 72 6f 20 74 6f 0a 61 62 6f 72 74  on-zero to.abort
0e20: 20 74 68 65 20 73 74 61 74 65 6d 65 6e 74 20 69   the statement i
0e30: 66 20 74 68 65 20 73 74 61 74 65 6d 65 6e 74 20  f the statement 
0e40: 72 75 6e 73 20 66 6f 72 20 74 6f 6f 20 6c 6f 6e  runs for too lon
0e50: 67 2e 20 20 41 6c 74 65 72 6e 61 74 69 76 65 6c  g.  Alternativel
0e60: 79 2c 0a 73 65 74 20 61 20 74 69 6d 65 72 20 69  y,.set a timer i
0e70: 6e 20 61 20 73 65 70 61 72 61 74 65 20 74 68 72  n a separate thr
0e80: 65 61 64 20 61 6e 64 20 69 6e 76 6f 6b 65 20 5b  ead and invoke [
0e90: 73 71 6c 69 74 65 33 5f 69 6e 74 65 72 72 75 70  sqlite3_interrup
0ea0: 74 28 29 5d 20 77 68 65 6e 0a 74 68 65 20 74 69  t()] when.the ti
0eb0: 6d 65 72 20 67 6f 65 73 20 6f 66 66 20 74 6f 20  mer goes off to 
0ec0: 70 72 65 76 65 6e 74 20 74 68 65 20 53 51 4c 20  prevent the SQL 
0ed0: 73 74 61 74 65 6d 65 6e 74 20 66 72 6f 6d 20 72  statement from r
0ee0: 75 6e 6e 69 6e 67 20 66 6f 72 65 76 65 72 2e 0a  unning forever..
0ef0: 0a 3c 6c 69 3e 3c 70 3e 0a 49 6e 20 65 78 74 72  .<li><p>.In extr
0f00: 65 6d 65 20 63 61 73 65 73 2c 20 63 6f 6e 73 69  eme cases, consi
0f10: 64 65 72 20 63 6f 6d 70 69 6c 69 6e 67 20 53 51  der compiling SQ
0f20: 4c 69 74 65 20 77 69 74 68 20 74 68 65 0a 5b 2d  Lite with the.[-
0f30: 44 53 51 4c 49 54 45 5f 45 4e 41 42 4c 45 5f 4d  DSQLITE_ENABLE_M
0f40: 45 4d 53 59 53 35 5d 20 6f 70 74 69 6f 6e 20 61  EMSYS5] option a
0f50: 6e 64 20 74 68 65 6e 20 70 72 6f 76 69 64 69 6e  nd then providin
0f60: 67 20 53 51 4c 69 74 65 20 77 69 74 68 0a 61 20  g SQLite with.a 
0f70: 66 69 78 65 64 20 63 68 75 6e 6b 20 6f 66 20 6d  fixed chunk of m
0f80: 65 6d 6f 72 79 20 74 6f 20 75 73 65 20 61 73 20  emory to use as 
0f90: 69 74 73 20 68 65 61 70 20 76 69 61 20 74 68 65  its heap via the
0fa0: 0a 5b 73 71 6c 69 74 65 33 5f 63 6f 6e 66 69 67  .[sqlite3_config
0fb0: 5d 28 5b 53 51 4c 49 54 45 5f 43 4f 4e 46 49 47  ]([SQLITE_CONFIG
0fc0: 5f 48 45 41 50 5d 29 20 69 6e 74 65 72 66 61 63  _HEAP]) interfac
0fd0: 65 2e 20 54 68 69 73 20 77 69 6c 6c 0a 70 72 65  e. This will.pre
0fe0: 76 65 6e 74 20 6d 61 6c 69 63 69 6f 75 73 20 53  vent malicious S
0ff0: 51 4c 20 66 72 6f 6d 20 65 78 65 63 75 74 69 6e  QL from executin
1000: 67 20 61 20 64 65 6e 69 61 6c 2d 6f 66 2d 73 65  g a denial-of-se
1010: 72 76 69 63 65 20 61 74 74 61 63 6b 0a 62 79 20  rvice attack.by 
1020: 75 73 69 6e 67 20 61 6e 20 65 78 63 65 73 73 69  using an excessi
1030: 76 65 20 61 6d 6f 75 6e 74 20 6f 66 20 6d 65 6d  ve amount of mem
1040: 6f 72 79 2e 20 49 66 20 28 73 61 79 29 20 35 20  ory. If (say) 5 
1050: 4d 42 20 6f 66 20 6d 65 6d 6f 72 79 0a 69 73 20  MB of memory.is 
1060: 70 72 6f 76 69 64 65 64 20 66 6f 72 20 53 51 4c  provided for SQL
1070: 69 74 65 20 74 6f 20 75 73 65 2c 20 6f 6e 63 65  ite to use, once
1080: 20 74 68 61 74 20 6d 75 63 68 20 68 61 73 20 62   that much has b
1090: 65 65 6e 20 63 6f 6e 73 75 6d 65 64 2c 0a 53 51  een consumed,.SQ
10a0: 4c 69 74 65 20 77 69 6c 6c 20 73 74 61 72 74 20  Lite will start 
10b0: 72 65 74 75 72 6e 69 6e 67 20 53 51 4c 49 54 45  returning SQLITE
10c0: 5f 4e 4f 4d 45 4d 20 65 72 72 6f 72 73 2c 20 72  _NOMEM errors, r
10d0: 61 74 68 65 72 20 74 68 61 6e 0a 73 6f 61 6b 69  ather than.soaki
10e0: 6e 67 20 75 70 20 6d 65 6d 6f 72 79 20 6e 65 65  ng up memory nee
10f0: 64 65 64 20 62 79 20 6f 74 68 65 72 20 70 61 72  ded by other par
1100: 74 73 20 6f 66 20 74 68 65 20 61 70 70 6c 69 63  ts of the applic
1110: 61 74 69 6f 6e 2e 0a 54 68 69 73 20 61 6c 73 6f  ation..This also
1120: 20 73 61 6e 64 62 6f 78 65 73 20 53 51 4c 69 74   sandboxes SQLit
1130: 65 27 73 20 6d 65 6d 6f 72 79 20 73 6f 20 74 68  e's memory so th
1140: 61 74 20 61 20 77 72 69 74 65 2d 61 66 74 65 72  at a write-after
1150: 2d 66 72 65 65 0a 65 72 72 6f 72 20 69 6e 20 73  -free.error in s
1160: 6f 6d 65 20 6f 74 68 65 72 20 70 61 72 74 20 6f  ome other part o
1170: 66 20 74 68 65 20 61 70 70 6c 69 63 61 74 69 6f  f the applicatio
1180: 6e 20 77 69 6c 6c 20 6e 6f 74 20 63 61 75 73 65  n will not cause
1190: 0a 70 72 6f 62 6c 65 6d 73 20 66 6f 72 20 53 51  .problems for SQ
11a0: 4c 69 74 65 2c 20 6f 72 20 76 69 63 65 20 76 65  Lite, or vice ve
11b0: 72 73 61 2e 0a 3c 2f 6f 6c 3e 0a 0a 3c 68 32 3e  rsa..</ol>..<h2>
11c0: 55 6e 74 72 75 73 74 65 64 20 53 51 4c 69 74 65  Untrusted SQLite
11d0: 20 44 61 74 61 62 61 73 65 20 46 69 6c 65 73 3c   Database Files<
11e0: 2f 68 32 3e 0a 0a 3c 70 3e 41 70 70 6c 69 63 61  /h2>..<p>Applica
11f0: 74 69 6f 6e 73 20 74 68 61 74 20 61 63 63 65 70  tions that accep
1200: 74 20 75 6e 74 72 75 73 74 65 64 20 64 61 74 61  t untrusted data
1210: 62 61 73 65 20 66 69 6c 65 73 20 73 68 6f 75 6c  base files shoul
1220: 64 20 64 6f 20 74 68 65 20 66 6f 6c 6c 6f 77 69  d do the followi
1230: 6e 67 3a 0a 0a 3c 6f 6c 3e 0a 3c 6c 69 20 76 61  ng:..<ol>.<li va
1240: 6c 75 65 3d 22 36 22 3e 3c 70 3e 0a 52 75 6e 20  lue="6"><p>.Run 
1250: 5b 50 52 41 47 4d 41 20 69 6e 74 65 67 72 69 74  [PRAGMA integrit
1260: 79 5f 63 68 65 63 6b 5d 20 6f 72 20 5b 50 52 41  y_check] or [PRA
1270: 47 4d 41 20 71 75 69 63 6b 5f 63 68 65 63 6b 5d  GMA quick_check]
1280: 20 6f 6e 20 74 68 65 20 64 61 74 61 62 61 73 65   on the database
1290: 0a 61 73 20 74 68 65 20 66 69 72 73 74 20 53 51  .as the first SQ
12a0: 4c 20 73 74 61 74 65 6d 65 6e 74 20 61 66 74 65  L statement afte
12b0: 72 20 6f 70 65 6e 69 6e 67 20 74 68 65 20 64 61  r opening the da
12c0: 74 61 62 61 73 65 20 66 69 6c 65 73 20 61 6e 64  tabase files and
12d0: 0a 70 72 69 6f 72 20 74 6f 20 72 75 6e 6e 69 6e  .prior to runnin
12e0: 67 20 61 6e 79 20 6f 74 68 65 72 20 53 51 4c 20  g any other SQL 
12f0: 73 74 61 74 65 6d 65 6e 74 73 2e 20 20 52 65 6a  statements.  Rej
1300: 65 63 74 20 61 6e 64 20 72 65 66 75 73 65 20 74  ect and refuse t
1310: 6f 0a 70 72 6f 63 65 73 73 20 61 6e 79 20 64 61  o.process any da
1320: 74 61 62 61 73 65 20 66 69 6c 65 20 63 6f 6e 74  tabase file cont
1330: 61 69 6e 69 6e 67 20 65 72 72 6f 72 73 2e 0a 0a  aining errors...
1340: 3c 6c 69 3e 3c 70 3e 0a 45 6e 61 62 6c 65 20 74  <li><p>.Enable t
1350: 68 65 20 5b 50 52 41 47 4d 41 20 63 65 6c 6c 5f  he [PRAGMA cell_
1360: 73 69 7a 65 5f 63 68 65 63 6b 3d 4f 4e 5d 20 73  size_check=ON] s
1370: 65 74 74 69 6e 67 2e 0a 0a 3c 6c 69 3e 3c 70 3e  etting...<li><p>
1380: 0a 44 6f 20 6e 6f 74 20 65 6e 61 62 6c 65 20 6d  .Do not enable m
1390: 65 6d 6f 72 79 2d 6d 61 70 70 65 64 20 49 2f 4f  emory-mapped I/O
13a0: 2e 0a 49 6e 20 6f 74 68 65 72 20 77 6f 72 64 73  ..In other words
13b0: 2c 20 6d 61 6b 65 20 73 75 72 65 20 74 68 61 74  , make sure that
13c0: 20 5b 50 52 41 47 4d 41 20 6d 6d 61 70 5f 73 69   [PRAGMA mmap_si
13d0: 7a 65 3d 30 5d 2e 0a 0a 3c 6c 69 3e 3c 70 3e 0a  ze=0]...<li><p>.
13e0: 41 20 6d 61 6c 69 63 69 6f 75 73 6c 79 20 63 72  A maliciously cr
13f0: 61 66 74 65 64 20 64 61 74 61 62 61 73 65 20 6d  afted database m
1400: 69 67 68 74 20 62 65 20 61 62 6c 65 20 74 6f 20  ight be able to 
1410: 69 6e 6a 65 63 74 20 53 51 4c 20 62 79 20 64 65  inject SQL by de
1420: 66 69 6e 69 6e 67 20 6e 65 77 0a 5b 43 52 45 41  fining new.[CREA
1430: 54 45 20 54 52 49 47 47 45 52 7c 74 72 69 67 67  TE TRIGGER|trigg
1440: 65 72 73 5d 20 6f 72 20 5b 43 52 45 41 54 45 20  ers] or [CREATE 
1450: 56 49 45 57 7c 76 69 65 77 73 5d 20 69 6e 20 74  VIEW|views] in t
1460: 68 65 20 73 63 68 65 6d 61 20 74 68 61 74 20 74  he schema that t
1470: 68 65 0a 61 70 70 6c 69 63 61 74 69 6f 6e 20 64  he.application d
1480: 6f 65 73 20 6e 6f 74 20 61 6e 74 69 63 69 70 61  oes not anticipa
1490: 74 65 2e 0a 54 68 65 72 65 66 6f 72 65 2c 20 61  te..Therefore, a
14a0: 70 70 6c 69 63 61 74 69 6f 6e 73 20 74 68 61 74  pplications that
14b0: 20 72 65 61 64 20 75 6e 74 72 75 73 74 65 64 20   read untrusted 
14c0: 64 61 74 61 62 61 73 65 73 20 6d 69 67 68 74 20  databases might 
14d0: 77 61 6e 74 20 74 6f 20 0a 73 63 61 6e 20 74 68  want to .scan th
14e0: 65 20 5b 73 71 6c 69 74 65 5f 6d 61 73 74 65 72  e [sqlite_master
14f0: 5d 20 74 61 62 6c 65 20 74 6f 20 6c 6f 6f 6b 20  ] table to look 
1500: 66 6f 72 20 75 6e 65 78 70 65 63 74 65 64 20 74  for unexpected t
1510: 72 69 67 67 65 72 73 20 61 6e 64 2f 6f 72 20 76  riggers and/or v
1520: 69 65 77 73 0a 61 6e 64 20 6d 69 67 68 74 20 61  iews.and might a
1530: 6c 73 6f 20 77 61 6e 74 20 74 6f 20 64 65 70 6c  lso want to depl
1540: 6f 79 20 74 68 65 20 53 51 4c 20 64 65 66 65 6e  oy the SQL defen
1550: 73 65 20 74 65 63 68 6e 69 71 75 65 73 20 64 65  se techniques de
1560: 73 63 72 69 62 65 64 20 69 6e 0a 74 68 65 20 70  scribed in.the p
1570: 72 65 76 69 6f 75 73 20 73 65 63 74 69 6f 6e 2e  revious section.
1580: 0a 3c 2f 6f 6c 3e 0a 0a 3c 68 31 3e 53 75 6d 6d  .</ol>..<h1>Summ
1590: 61 72 79 3c 2f 68 31 3e 0a 0a 3c 70 3e 0a 54 68  ary</h1>..<p>.Th
15a0: 65 20 70 72 65 63 61 75 74 69 6f 6e 73 20 61 62  e precautions ab
15b0: 6f 76 65 20 61 72 65 20 6e 6f 74 20 72 65 71 75  ove are not requ
15c0: 69 72 65 64 20 69 6e 20 6f 72 64 65 72 20 74 6f  ired in order to
15d0: 20 75 73 65 20 53 51 4c 69 74 65 20 73 61 66 65   use SQLite safe
15e0: 6c 79 0a 77 69 74 68 20 70 6f 74 65 6e 74 69 61  ly.with potentia
15f0: 6c 6c 79 20 68 6f 73 74 69 6c 65 20 69 6e 70 75  lly hostile inpu
1600: 74 73 2e 0a 48 6f 77 65 76 65 72 2c 20 74 68 65  ts..However, the
1610: 79 20 64 6f 20 70 72 6f 76 69 64 65 20 61 6e 20  y do provide an 
1620: 65 78 74 72 61 20 6c 61 79 65 72 20 6f 66 20 64  extra layer of d
1630: 65 66 65 6e 73 65 20 61 67 61 69 6e 73 74 20 7a  efense against z
1640: 65 72 6f 2d 64 61 79 0a 65 78 70 6c 6f 69 74 73  ero-day.exploits
1650: 20 61 6e 64 20 61 72 65 20 65 6e 63 6f 75 72 61   and are encoura
1660: 67 65 64 20 66 6f 72 20 61 70 70 6c 69 63 61 74  ged for applicat
1670: 69 6f 6e 73 20 74 68 61 74 20 70 61 73 73 20 64  ions that pass d
1680: 61 74 61 20 66 72 6f 6d 0a 75 6e 74 72 75 73 74  ata from.untrust
1690: 65 64 20 73 6f 75 72 63 65 73 20 69 6e 74 6f 20  ed sources into 
16a0: 53 51 4c 69 74 65 2e 0a                          SQLite..