簡單地說,Sql注入就是將Sql代碼傳遞到應(yīng)用程序的過程�����,但不是按照應(yīng)用程序開發(fā)人員預(yù)定或期望的方式插入,相當大一部分程序員在編寫代碼的時候,并沒有對用戶輸入數(shù)據(jù)的合法性進行判斷,使應(yīng)用程序存在安全隱患����。這種漏洞并非系統(tǒng)照成�,而是由程序員在編程中忽略了安全因素�。Sql注入漏洞攻擊原理就是利用非法參數(shù)獲得敏感信息,收集整理����,分析出管理員賬號密碼��。
當開發(fā)應(yīng)用程序時,尤其是有關(guān)數(shù)據(jù)庫信息的查詢,查詢語句中可能會有拼接字符串注入漏洞,這便會導(dǎo)致用戶資料泄露。那么該如何防范此類漏洞的出現(xiàn)�����。
可以為查詢語句設(shè)置參數(shù)����,方法實例如下面所示:
Using(Sqlconnection cn = new sqlconnection(“連接字符串”))
{
cn.open();
using(sqlcommand cmd = cn.creatcommand())
{
cmd.commandtext=”select * from T_table where name=’”+textbox.text+”’”;
(此時如果在文本框中輸入1’ or ‘1’=’1)就可以獲取數(shù)據(jù)庫信息�����。會造成信息的泄露����。解決辦法就是引入?yún)?shù)��。方法如下��。
cmd.commandtext=”select * from T_table where name=@Name”;
cmd.Parameters.Add (new sqlParameter ("@Name", textbox.text))};
這樣查詢數(shù)據(jù)就會從數(shù)據(jù)庫查詢比對��,不會再出現(xiàn)注入漏洞攻擊的情況。
}
}
每一次必不可少的會寫對數(shù)據(jù)庫操作的Sql語句�����,例如以下驗證登陸的Sql語句:
string strSql="select * from Table Where UserName='"+textBoxUserName.Text+'"and UserPassord='"+textBoxPassword.Text+"'";
或者
string strSql=string.Format("select * from Table where UserName='{0}' and UserPassword='{1}'",textBoxUserName.Text,textBoxPassword.Text);
在上面的語句中�,對數(shù)據(jù)庫操作的Sql語句使用字符串拼接的方式寫的,這種方式是前期的程序員以及初學者通用的對數(shù)據(jù)庫操作的一種Sql語句寫法����,上述代碼中的textBoxUserName是用戶在textBoxUserName文本框中提交的用戶名�,textUserpassword是用戶在textUserpassword文本框中提交的密碼��,在理想的狀態(tài)下��,用戶 為了對系統(tǒng)進行攻擊,用戶(就是黑客)可能嘗試篡改Sql語句,達到登錄的目的����。例如用戶可能在用戶名文本框中輸入下面的語句:
1' or 1=1 --
下面我們把上面一行的語句代入到前面用于登錄的Sql語句中����,得到下面的Sql語句:
select * from Table where UserId='1' or 1=1 --'and UserName=' '
稍微學過數(shù)據(jù)庫Sql語句的���,很快就會發(fā)現(xiàn)上面一句話的不正常�����,這條Sql語句會返回Table表的全部數(shù)據(jù),這就是黑客有機可乘的地方�,黑客可以用這種方法成功登陸����,還可以獲取該Table表的所有信息�����。下面解釋一下這句Sql語句:如果只有select * from Table���,就會返回該Table表的所有信息���,where后是查詢條件�����,1=1永遠為True,不管User='1'為True還是為False���,UserId='1' or 1=1 都為True。至于--'and UserName=' ' ����,因為兩個連字符(--)是MS Sql Server的注釋標記(My Sql和Oracle數(shù)據(jù)庫也使用相同的技術(shù)��,不過My Sql使用的注釋標記師是符號#,Oracle使用的是分號;)���,--后面的內(nèi)容傳到數(shù)據(jù)庫查詢時都被注釋了��,那么--后面的內(nèi)容就沒用了��,Sql語句不會執(zhí)行了,所以where后的查詢條件永遠為True,綜上所述��,上面的Sql查詢語句會返回Table表的所有信息����!
通過這種Sql語法漏洞,黑客們可以達到他們的目的,但Sql注入漏洞攻擊絕對不止這一種��,復(fù)雜的還有很多�����,我不在說了�。下面我談一下我知道在.NET中應(yīng)對上面這種Sql注入攻擊的防范措施。
我們所能做的,如果不修改上面的Sql查詢語句�����,那一種方法就是利用TextBox控件的MaxLength屬性�,這樣就鍵入了黑客鍵入字符的數(shù)量,從而可以限制黑客向服務(wù)器發(fā)送大量的非法命令��,但這種方法只是掩耳盜鈴���,治不了根本����。第二種方法就是刪除用戶輸入中的單引號,方法是在單引號后面加一個或多個單引號��,或者利用空格替換單引號�����,這樣就可以預(yù)防此類攻擊。但局限性是如果用戶的用戶名或密碼中就含有單引號呢,那就不可行了!
最完美的一種方法就是使用ADO.NET Command對象的參數(shù)集合����,在前面的可以進行Sql注入漏洞攻擊的Sql語句中�����,通過使用字符串拼接方法動態(tài)創(chuàng)建查詢,在這里我們可以利用ADO.NET Command的對象的Parameters屬性提供的功能�����,傳遞執(zhí)行Sql語句所使用的參數(shù)��,在這種方法中參數(shù)名必須以字符@為前綴��,例如以下Sql查詢語句:
string strSql="select * from Table where UserName=@UserName and UserPassword=@UserPassword";
在該語句中,@UserName和@UserPassword就是參數(shù)名,可以使用以下語句為該參數(shù)傳值:
SqlCommand cmd=new SqlCommand(strSql,conn);
SqlParameters[] pams=new SqlParameters(new SqlParameters("@UserName",textBoxUserName.Text),new SqlParameters("@UserPassword",textBoxPassword.Text));
cmd.Parameters.AddRange(pams);
參數(shù)名不區(qū)分大小寫����,這種方法也適宜存儲過程和SqlDataAdapter對象����。
我們在動態(tài)創(chuàng)建Sql語句中使用了@UserName和@UserPassword名稱����,而不是拼接多個字符串,這樣就可以使用SqlCommand對象的Parameters集合傳遞值,該方法可以安全的創(chuàng)建動態(tài)Sql連接�。參數(shù)在Sql Server內(nèi)部不是簡單的字符串替換�,Sql Server直接0用添加的值進行數(shù)據(jù)比較�,因此不會有Sql注入漏洞攻擊。
