關(guān)于SQL注入攻擊與防范

　　隨著網(wǎng)絡(luò)的普及，關(guān)系數(shù)據(jù)庫(kù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全越來(lái)越重要。下面是YJBYS小編為大家搜索整理了關(guān)于SQL注入攻擊與防范，歡迎參考閱讀，希望對(duì)大家有所幫助。想了解更多相關(guān)信息請(qǐng)持續(xù)關(guān)注我們應(yīng)屆畢業(yè)生培訓(xùn)網(wǎng)!

　　一、 SQL注入攻擊

　　簡(jiǎn)言之，SQL注入是應(yīng)用程序開(kāi)發(fā)人員未預(yù)期地把SQL代碼傳入到應(yīng)用程序的過(guò)程。它由于應(yīng)用程序的糟糕設(shè)計(jì)而成為可能，并且只有那些直接使用用戶提供的值構(gòu)建SQL語(yǔ)句的應(yīng)用程序才會(huì)受影響。

　　例如：用戶輸入客戶ID后，GridView顯示客戶的全部行記錄。在一個(gè)更加真實(shí)的案例中，用戶還要輸入密碼之類(lèi)的驗(yàn)證信息，或者根據(jù)前面的登錄頁(yè)面得到用戶ID，可能還會(huì)有一些用戶輸入關(guān)鍵信息的文本框，如訂單的日期范圍或產(chǎn)品名稱(chēng)。問(wèn)題在于命令是如何被執(zhí)行的。在這個(gè)示例中，SQL語(yǔ)句通過(guò)字符串構(gòu)造技術(shù)動(dòng)態(tài)創(chuàng)建。文本框txtID的值被直接復(fù)制到字符串中。下面是代碼：

　　在這個(gè)示例中，攻擊者可以篡改SQL語(yǔ)句。通常，攻擊的第一個(gè)目標(biāo)是得到錯(cuò)誤信息。如果錯(cuò)誤沒(méi)有被恰當(dāng)處理，底層的信息就會(huì)暴露給攻擊者。這些信息可用于進(jìn)一步攻擊。

　　例如，想象一下在文本一下在文本框中輸入下面的字符串會(huì)發(fā)生什么?

　　ALFKI'OR '1'='1

　　再看看因此生成的完整SQL語(yǔ)句：

　　這條語(yǔ)句將返回所有的訂單記錄，即便那些訂單不是由ALFDI創(chuàng)建，因?yàn)閷?duì)每一行而言而有信1=1總是true。這樣產(chǎn)生的后果是沒(méi)有顯示當(dāng)前用戶特定信息，卻向攻擊者顯示了全部資料，如果屏幕上顯示的是敏感信息，如社會(huì)保險(xiǎn)號(hào)，生日或信用卡資料，就會(huì)帶來(lái)嚴(yán)重的問(wèn)題。事實(shí)上，這些簡(jiǎn)單的SQL注入往往是困擾那些大型電子商務(wù)公司的麻煩。一般而言，攻擊點(diǎn)不在于文本框而在于查詢字符串(可被用于向數(shù)據(jù)庫(kù)傳送值，如列表頁(yè)向詳細(xì)信息頁(yè)面?zhèn)魉臀ㄒ粯?biāo)識(shí)符)。

　　還可以進(jìn)行更復(fù)雜的攻擊。例如，攻擊者可以使用兩個(gè)連接號(hào)(--)注釋掉SQL語(yǔ)句的剩余部分。這樣的攻擊只限于SQL Server，不過(guò)對(duì)于其他類(lèi)型的數(shù)據(jù)庫(kù)也有等效的辦法，如MySql使用(#)號(hào)，Oracle使用(;)號(hào)。另外攻擊者還可以執(zhí)行含有任意SQL語(yǔ)句的批處理命令。對(duì)于SQL Server提供程序，攻擊者只需在新命令前加上分號(hào)(;)。攻擊者可以采用這樣的方式刪除其他表的內(nèi)容，甚至調(diào)用SQL Server的系統(tǒng)存儲(chǔ)過(guò)程xp_cmdshell在命令執(zhí)行任意的程序。

　　下面是攻擊者在文本框中輸入的，它的攻擊目標(biāo)是刪除Customers表的全部行。

　　LUNCHUN’;DELETE*FROM Customers--

　　二、防范

　　如何預(yù)防SQL注入攻擊呢?需要記住幾點(diǎn)。首先，使用TextBox.MaxLength屬性防止用戶輸入過(guò)長(zhǎng)的字符是一個(gè)好辦法。因?yàn)樗鼈儾粔蜷L(zhǎng)，也就減少了貼入大量腳本的可能性。其次，要使用ASP.NET驗(yàn)證控件鎖定錯(cuò)誤的數(shù)據(jù)(如文本、空格、數(shù)值中的特殊字符)。另外，要限制錯(cuò)誤信息給出的提示。捕獲到數(shù)據(jù)庫(kù)異常時(shí)，只顯示一些通用的信息(如“數(shù)據(jù)源錯(cuò)誤”)而不是顯示Exception.Message屬性中的信息，它可能暴露了系統(tǒng)攻擊點(diǎn)。

　　更為重要的是，一定要小心去除特殊字符。比如，可以將單引號(hào)替換為兩個(gè)單引號(hào)，這樣它們就不會(huì)和SQL語(yǔ)句的分隔符混淆：

　　string ID=txtID.Text().Replace(“’”，”’’”);

　　當(dāng)然，如果文本確實(shí)需要包含單引號(hào)，這樣做就引入了其他麻煩。另外，某些SQL注入攻擊還是可行的。替換單引號(hào)可以防止用戶提前結(jié)束一個(gè)字符串，然而，如果動(dòng)態(tài)構(gòu)建含有數(shù)值的SQL語(yǔ)句，SQL注入攻擊又有發(fā)揮的空間了。這個(gè)漏洞常被(這是很危險(xiǎn)的)忽視。更好的解決辦法是使用參數(shù)化的命令或使用存儲(chǔ)過(guò)程執(zhí)行轉(zhuǎn)義以防止SQL注入攻擊。

　　另一個(gè)好建議是限制用于訪問(wèn)數(shù)據(jù)庫(kù)的賬號(hào)的權(quán)限。這樣該賬號(hào)將沒(méi)有權(quán)限訪問(wèn)其他數(shù)據(jù)庫(kù)或執(zhí)行擴(kuò)展的存儲(chǔ)過(guò)程。不過(guò)這樣并不能解決SQL腳本注入的問(wèn)題，因?yàn)橛糜谶B接數(shù)據(jù)庫(kù)的進(jìn)程幾乎總是需要比任意單個(gè)用戶更大的權(quán)限。通過(guò)限制權(quán)限，可以預(yù)防刪除表的攻擊，但不能阻止攻擊者偷看別人的信息

　　三、POST注入攻擊

　　精明的用戶可能會(huì)知道還有另外一個(gè)Web控件攻擊的潛在途徑。雖然參數(shù)化的命令防止了SQL注入攻擊，但它們不能阻止攻擊者向回發(fā)到服務(wù)器的數(shù)據(jù)添加惡意的值。如果不檢查這些值，就使得攻擊者可以提交本來(lái)不可能存在的控件值。

　　例如，假設(shè)你有一個(gè)顯示當(dāng)前用戶訂單的列表。狡詐的攻擊者可能保存該頁(yè)面的一個(gè)本地副本，修改HTML內(nèi)容向列表添加更多的項(xiàng)目，然后選擇某個(gè)“假”的項(xiàng)目。如果攻擊成功，攻擊者就能夠看到其他用戶訂單，這顯然是一個(gè)問(wèn)題。幸好，ASP.NET使用一個(gè)很少被提及的叫做“事件驗(yàn)證”的特性來(lái)防止這種攻擊。事件驗(yàn)證檢查回發(fā)到服務(wù)器的數(shù)據(jù)并驗(yàn)證其中值的合法性。例如，如果回發(fā)的數(shù)據(jù)表明用戶選擇了一個(gè)沒(méi)有意義的數(shù)據(jù)(因?yàn)樗�在控件中并不存�?，ASP.NET就產(chǎn)生一個(gè)錯(cuò)誤并停止處理。可以在Page指令中設(shè)置EnableEventValidation特性為false來(lái)禁用事件驗(yàn)證。創(chuàng)建使用客戶端腳本動(dòng)態(tài)改變內(nèi)容的頁(yè)面時(shí)，需要執(zhí)行這一步。不過(guò)，此時(shí)在使用這些值之前要注意檢查潛在的POST注入攻擊。

【SQL注入攻擊與防范】相關(guān)文章：

PHP防止SQL注入的例子09-25

網(wǎng)絡(luò)攻擊的常見(jiàn)手法及其防范措施01-23

oracle的sql語(yǔ)句01-21

SQL優(yōu)化大全09-09

SQL查詢語(yǔ)句大全10-24

SQL語(yǔ)句的理解原則10-05

PHP對(duì)象注入的實(shí)例分析08-27

mysql SQL語(yǔ)句積累參考10-02

執(zhí)行sql原理l分析05-12

SQL中的單記錄函數(shù)08-12