關(guān)于SQL注入攻擊與防范

　　隨著網(wǎng)絡的普及，關(guān)系數(shù)據(jù)庫的廣泛應用，網(wǎng)絡安全越來越重要。下面是YJBYS小編為大家搜索整理了關(guān)于SQL注入攻擊與防范，歡迎參考閱讀，希望對大家有所幫助。想了解更多相關(guān)信息請持續(xù)關(guān)注我們應屆畢業(yè)生培訓網(wǎng)!

　　一、 SQL注入攻擊

　　簡言之，SQL注入是應用程序開發(fā)人員未預期地把SQL代碼傳入到應用程序的過程。它由于應用程序的糟糕設計而成為可能，并且只有那些直接使用用戶提供的值構(gòu)建SQL語句的應用程序才會受影響。

　　例如：用戶輸入客戶ID后，GridView顯示客戶的全部行記錄。在一個更加真實的案例中，用戶還要輸入密碼之類的驗證信息，或者根據(jù)前面的登錄頁面得到用戶ID，可能還會有一些用戶輸入關(guān)鍵信息的文本框，如訂單的日期范圍或產(chǎn)品名稱。問題在于命令是如何被執(zhí)行的。在這個示例中，SQL語句通過字符串構(gòu)造技術(shù)動態(tài)創(chuàng)建。文本框txtID的值被直接復制到字符串中。下面是代碼：

　　在這個示例中，攻擊者可以篡改SQL語句。通常，攻擊的第一個目標是得到錯誤信息。如果錯誤沒有被恰當處理，底層的信息就會暴露給攻擊者。這些信息可用于進一步攻擊。

　　例如，想象一下在文本一下在文本框中輸入下面的字符串會發(fā)生什么?

　　ALFKI'OR '1'='1

　　再看看因此生成的完整SQL語句：

　　這條語句將返回所有的訂單記錄，即便那些訂單不是由ALFDI創(chuàng)建，因為對每一行而言而有信1=1總是true。這樣產(chǎn)生的后果是沒有顯示當前用戶特定信息，卻向攻擊者顯示了全部資料，如果屏幕上顯示的是敏感信息，如社會保險號，生日或信用卡資料，就會帶來嚴重的問題。事實上，這些簡單的SQL注入往往是困擾那些大型電子商務公司的麻煩。一般而言，攻擊點不在于文本框而在于查詢字符串(可被用于向數(shù)據(jù)庫傳送值，如列表頁向詳細信息頁面?zhèn)魉臀ㄒ粯俗R符)。

　　還可以進行更復雜的攻擊。例如，攻擊者可以使用兩個連接號(--)注釋掉SQL語句的剩余部分。這樣的攻擊只限于SQL Server，不過對于其他類型的數(shù)據(jù)庫也有等效的辦法，如MySql使用(#)號，Oracle使用(;)號。另外攻擊者還可以執(zhí)行含有任意SQL語句的批處理命令。對于SQL Server提供程序，攻擊者只需在新命令前加上分號(;)。攻擊者可以采用這樣的方式刪除其他表的內(nèi)容，甚至調(diào)用SQL Server的系統(tǒng)存儲過程xp_cmdshell在命令執(zhí)行任意的程序。

　　下面是攻擊者在文本框中輸入的，它的攻擊目標是刪除Customers表的全部行。

　　LUNCHUN’;DELETE*FROM Customers--

　　二、防范

　　如何預防SQL注入攻擊呢?需要記住幾點。首先，使用TextBox.MaxLength屬性防止用戶輸入過長的字符是一個好辦法。因為它們不夠長，也就減少了貼入大量腳本的可能性。其次，要使用ASP.NET驗證控件鎖定錯誤的數(shù)據(jù)(如文本、空格、數(shù)值中的特殊字符)。另外，要限制錯誤信息給出的提示。捕獲到數(shù)據(jù)庫異常時，只顯示一些通用的信息(如“數(shù)據(jù)源錯誤”)而不是顯示Exception.Message屬性中的信息，它可能暴露了系統(tǒng)攻擊點。

　　更為重要的是，一定要小心去除特殊字符。比如，可以將單引號替換為兩個單引號，這樣它們就不會和SQL語句的分隔符混淆：

　　string ID=txtID.Text().Replace(“’”，”’’”);

　　當然，如果文本確實需要包含單引號，這樣做就引入了其他麻煩。另外，某些SQL注入攻擊還是可行的。替換單引號可以防止用戶提前結(jié)束一個字符串，然而，如果動態(tài)構(gòu)建含有數(shù)值的SQL語句，SQL注入攻擊又有發(fā)揮的空間了。這個漏洞常被(這是很危險的)忽視。更好的解決辦法是使用參數(shù)化的命令或使用存儲過程執(zhí)行轉(zhuǎn)義以防止SQL注入攻擊。

　　另一個好建議是限制用于訪問數(shù)據(jù)庫的賬號的權(quán)限。這樣該賬號將沒有權(quán)限訪問其他數(shù)據(jù)庫或執(zhí)行擴展的存儲過程。不過這樣并不能解決SQL腳本注入的問題，因為用于連接數(shù)據(jù)庫的進程幾乎總是需要比任意單個用戶更大的權(quán)限。通過限制權(quán)限，可以預防刪除表的攻擊，但不能阻止攻擊者偷看別人的信息

　　三、POST注入攻擊

　　精明的用戶可能會知道還有另外一個Web控件攻擊的潛在途徑。雖然參數(shù)化的命令防止了SQL注入攻擊，但它們不能阻止攻擊者向回發(fā)到服務器的數(shù)據(jù)添加惡意的值。如果不檢查這些值，就使得攻擊者可以提交本來不可能存在的控件值。

　　例如，假設你有一個顯示當前用戶訂單的列表。狡詐的攻擊者可能保存該頁面的一個本地副本，修改HTML內(nèi)容向列表添加更多的項目，然后選擇某個“假”的項目。如果攻擊成功，攻擊者就能夠看到其他用戶訂單，這顯然是一個問題。幸好，ASP.NET使用一個很少被提及的叫做“事件驗證”的特性來防止這種攻擊。事件驗證檢查回發(fā)到服務器的數(shù)據(jù)并驗證其中值的合法性。例如，如果回發(fā)的數(shù)據(jù)表明用戶選擇了一個沒有意義的數(shù)據(jù)(因為它在控件中并不存在)，ASP.NET就產(chǎn)生一個錯誤并停止處理�？梢栽赑age指令中設置EnableEventValidation特性為false來禁用事件驗證。創(chuàng)建使用客戶端腳本動態(tài)改變內(nèi)容的頁面時，需要執(zhí)行這一步。不過，此時在使用這些值之前要注意檢查潛在的POST注入攻擊。

【SQL注入攻擊與防范】相關(guān)文章：

PHP防止SQL注入的例子09-25

網(wǎng)絡攻擊的常見手法及其防范措施01-23

oracle的sql語句01-21

SQL優(yōu)化大全09-09

SQL查詢語句大全10-24

SQL語句的理解原則10-05

PHP對象注入的實例分析08-27

mysql SQL語句積累參考10-02

執(zhí)行sql原理l分析05-12

SQL中的單記錄函數(shù)08-12