防范Sql注入式攻擊 收藏
Sql注入式攻擊是指利用設(shè)計上的漏洞，在目標(biāo)服務(wù)器上運(yùn)行Sql 命令以及進(jìn)行其他方式的攻擊
動態(tài)生成Sql命令時沒有對用戶輸入的數(shù)據(jù)進(jìn)行驗證是Sql注入攻擊得逞的主要原因
比如一個在線書店，可以根據(jù)用戶的輸入關(guān)鍵字搜索相關(guān)的圖書。

string name = GetUserInput("BookName");
string script = "select table_book where book_name? like? N'%" + name + RunSql(script)
RunSql(script);

如果
name? = " ' select @@servername where '' = ' ";
這樣就可以得到DB Server的名字

還以在線書店為例，用戶只有登陸后才能察看自己的帳戶信息，這樣做是無可置疑的，然而用戶驗證的代碼如下

//id和password直接來自用戶的輸入。未做處理
string id = GetUserInput("UserID");
string password = GetUserInput("UserPassword");

tring script = "select * from table_user where User_ID = '" + id? + "' and User_Password? = '" + password? + "' ";
RunSql(script);

如果用戶輸入的password為“ or ''=' ”，那么生成的script就為
select * from table_user where User_ID = 'UserID' and User_Password? = ' ' or ''=' '
這樣一來，即使不知道用戶的密碼也可以察看該用戶的帳戶信息了

再比如，入侵者會把一些巧妙偽裝的代碼嵌入到你動態(tài)生成的Sql命令中，比如
Delete table_Book where 1 = 1? ...
use master--

上面的例子都是一些簡單的示例，攻擊者還可能通過sql的漏洞對操作系統(tǒng)進(jìn)行攻擊，比如運(yùn)行
[xp_cmdshell],[xp_regread]

當(dāng)然實際上的攻擊沒有這么簡單，攻擊者還會利用系統(tǒng)設(shè)計的其他漏洞。比如程序把數(shù)據(jù)庫返回的出錯信息沒有進(jìn)行轉(zhuǎn)換就直接輸出給用戶看，那么攻擊者就設(shè)計一些sql語句誘導(dǎo)系統(tǒng)返回需要的信息

從上面的這些例子可以看出，對數(shù)據(jù)庫訪問權(quán)限的設(shè)計不當(dāng)，給與每一個數(shù)據(jù)庫連接太多的權(quán)限，甚至dbo或sa的權(quán)限，也是sql注入式攻擊利用的主要漏洞之一。

?

防范sql注入式攻擊

最小權(quán)限原則。特別是不要用dbo或者sa賬戶，為不同的類型的動作或者組建使用不同的賬戶，最小權(quán)限原則適用于所有與安全有關(guān)的場合

對用戶輸入進(jìn)行檢查。對一些特殊字符，比如單引號，雙引號，分號，逗號，冒號，連接號等進(jìn)行轉(zhuǎn)換或者過濾；使用強(qiáng)數(shù)據(jù)類型，比如你需要用戶輸入一個整數(shù)，就要把用戶輸入的數(shù)據(jù)轉(zhuǎn)換成整數(shù)形式；限制用戶輸入的長度等等。這些檢查要放在server運(yùn)行，client提交的任何東西都是不可信的

使用存儲過程，如果一定要使用sq語句，那么用標(biāo)準(zhǔn)的方式組建sql語句，比如可以利用parameters對象，避免用字符串直接拼sq命令。