快捷導(dǎo)航

SQL 注入式攻擊的終極防范

更新時(shí)間：2008年12月25日 12:28:13 作者：

前一篇我們已經(jīng)講了SQL注入攻擊漏洞產(chǎn)生的本質(zhì)是由編程人員編碼的不當(dāng)造成的，下面我們就來繼續(xù)講如何才是正確的編碼，才不會受到SQL注入的攻擊

在講這個(gè)問題之前讓我們來先看一段代碼：

dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post 
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" 
SQL_inj = split(SQL_Injdata,"|") 
If Request.QueryString<>"" Then 
For Each SQL_Get In Request.QueryString 
For SQL_Data=0 To Ubound(SQL_inj) 
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then 
Response.Write "<Script Language=javascript>alert('SQL防注入系統(tǒng)提示,請不要在嘗試注入！');history.back(-1)</Script>" 
Response.end 
end if 
next 
Next 
End If 
If Request.Form<>"" Then 
For Each Sql_Post In Request.Form 
For SQL_Data=0 To Ubound(SQL_inj) 
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then 
Response.Write "<Script Language=javascript>alert('SQL防注入系統(tǒng)提示,請不要在嘗試注入！');history.back(-1)</Script>" 
Response.end 
end if 
next 
next 
end if 

這是一段在互聯(lián)網(wǎng)上廣泛流行的ASP防注入的代碼，其思想是通過對Post方法和Get方法提交的數(shù)據(jù)進(jìn)行檢查，通過過濾Insert、Update、And等等這些敏感字符的辦法來防止受到SQL注入式的攻擊，從理論上來說如果我們過濾了足夠多的字符那是絕對可以保證不會受到SQL注入式攻擊的，但是請?jiān)僮屑?xì)閱讀一下這段代碼，注意一下它的判斷方式，它是通過instr函數(shù)來判斷的，也就是說如果我要過濾and字符，實(shí)際上被過濾的不僅僅是And這個(gè)單詞，同時(shí)把所有包含and這種字符組合方式的所有單詞都給過濾掉了，比如island、mainland、hand…………，如果把這些字符都過濾了還有人會愿意用嗎？所以這種過濾敏感字符的方法根本就沒有意義，讓我比較意外的是這么一個(gè)垃圾東西居然在互聯(lián)網(wǎng)上被人奉為經(jīng)典的貼來貼去，真是無語。
有人說SQL注入式攻擊是因?yàn)槠唇覵QL查詢字符串造成的，所以使用存儲過程不使用拼接SQL查詢字符串的方式可以不受SQL注入式的攻擊，真是這樣嗎？不見得，下面再讓我們來看一個(gè)存儲過程被注入攻擊的例子。
存儲過程dt_GetNews代碼如下：
CREATE PROCEDURE dt_GetNews
@newstype int
AS
select * from news where newstype=@newstype
GO
調(diào)用的代碼：
<%
dim adoconnection
set adoconnection=server.createobject("adodb.connection")
'…………這里省略了建立數(shù)據(jù)庫連接的相關(guān)代碼
adoconnection.execute "exec dt_GetNews "+request("newstype")
adoconnection.close
%>
如果request("newstype")的值等于1，運(yùn)行的結(jié)果是返回news表中所有newstype字段為1的記錄，但是如果request("newstype")的值是"1;drop table news"呢，返回的結(jié)果是news表被刪除。
從這個(gè)例子中可以看出來即便是用存儲過程同樣也會被攻擊，再說了select * from news where newstype=@newstype難道就不是拼接，所以說拼接SQL查詢字符串和SQL注入攻擊之間沒有必然的聯(lián)系，存儲過程也不一定能防御注入式攻擊。
那么究竟怎么寫才不會受到SQL注入攻擊呢，下面我就介紹一種終極方法，說白了很簡單也很原始就是數(shù)據(jù)類型驗(yàn)證加單引號替換。不管是Oracle、Sql Server還是mySql、Access還是別的關(guān)系數(shù)據(jù)庫，字段的類型大體上可以分為兩大類：數(shù)值型(如：int、float等)和字符型(如：char、varchar等)，根據(jù)字段類型的不同對應(yīng)的SQL語句也略有區(qū)別，比如：
“Select * from news where newstype=1”里面newstype字段必然是一個(gè)數(shù)值型的字段，
”select * from news where newstype='社會新聞'”里面newstype字段必然是一個(gè)字符型的字段。
針對數(shù)值型的字段，我們必須要做的是一定要檢查參數(shù)的數(shù)據(jù)類型，比如我們用”select * from news where newstype=”+v_newstype這種方式構(gòu)造查詢語句的時(shí)候必須檢查v_newstype變量的數(shù)據(jù)類型，v_newstype至少得是一個(gè)數(shù)，可以是整數(shù)也可以是浮點(diǎn)數(shù)，如果作了這樣的檢查，”select * from news where newstype=”+v_newstype這種方式就絕對不會構(gòu)造出類似”select * from news where newstype=1;drop table news”這樣的語句。ASP相對ASP.Net、JSP等更容易受到攻擊的原因，就是因?yàn)樵贏SP中變量可以不用申明以及變量類型不明確導(dǎo)致的。
針對字符型的字段，我們必須要做的是一定要處理單引號(')，處理的方法就是將一個(gè)單引號替換成兩個(gè)的單引號(‘')，比如我們用”select * from news where newstype='”+v_newstype+”'”這種方式構(gòu)造查詢語句的時(shí)候必須將v_newstype里的單引號替換成兩個(gè)單引號，因?yàn)樵赟QL中被兩個(gè)單引號括起來的部分表示一個(gè)字符串，而連續(xù)的兩個(gè)單引號則表示一個(gè)單引號字符，做了這樣的處理以后再來看”select * from news where newstype='”+v_newstype+”'”這種構(gòu)造方式，當(dāng)v_newstype的值為：
“社會新聞';drop table news--”
經(jīng)過一個(gè)單引號到兩個(gè)單引號的替換后v_newstype的值就成了：
“社會新聞'';drop table news--”
構(gòu)造出來的SQL語句成了：
”select * from news where newstype='社會新聞'';drop table news—‘”
查詢的結(jié)果是返回news表中newstype字段的值為”社會新聞';drop table news--”的記錄，而并不會像之前那樣造成news表被刪除的后果。
另外，需要做處理的不僅僅是Select語句，包括Insert、Update、Delete、Exec等等都需要處理，大家可以再看看以下這幾種注入方式：
在"insert into news(title) values('"+v_title+"')"這種構(gòu)造中，
當(dāng)v_title="123';drop table news--'"的時(shí)候；
在"update news set title='"+v_title+"' where id="+v_id這種構(gòu)造中，
當(dāng)v_title="123'--" 或者 v_id="1;drop table news--" 的時(shí)候，所以不光是Select語句的問題，其他語句都可能會有問題，不要僅僅盯著Select
總之，做好了數(shù)據(jù)類型的驗(yàn)證和單引號字符的處理以后，就算它孫猴子有萬般能耐也飛不出我如來的掌心。

您可能感興趣的文章: