在google中搜索“分頁(yè)存儲(chǔ)過(guò)程”會(huì)出來(lái)好多結(jié)果，是大家常用的分頁(yè)存儲(chǔ)過(guò)程，今天我卻要說(shuō)它是有漏洞的，而且漏洞無(wú)法通過(guò)修改存儲(chǔ)過(guò)程進(jìn)行補(bǔ)救，如果你覺(jué)得我錯(cuò)了，請(qǐng)讀下去也許你會(huì)改變看法。
通常大家都會(huì)認(rèn)為存儲(chǔ)過(guò)程可以避免sql注入的漏洞，這適用于一般的存儲(chǔ)過(guò)程，而對(duì)于通用分頁(yè)存儲(chǔ)過(guò)程是不適合的，請(qǐng)看下面的代碼和分析！
一般的通用的分頁(yè)存儲(chǔ)過(guò)程代碼如下：

大家可以看到上面的存儲(chǔ)過(guò)程中是通過(guò)一些步驟最終拼接成一個(gè)sql字符串，然后通過(guò)exec執(zhí)行這個(gè)串得到分頁(yè)的結(jié)果。

我們假定要做一個(gè)這樣的查詢，通過(guò)用戶名UserName模糊查詢用戶，為了敘述方便，便于理解我們只考慮取第一頁(yè)的情況，取出存儲(chǔ)過(guò)程中取第一頁(yè)的拼串行如下：
set @strSQL = 'SELECT TOP ' + str(@PageSize) + ' ' + @strGetFields + ' from [' + @tblName + '] where ' + @strWhere + ' ' + @strOrder

為了便于說(shuō)明問(wèn)題，我們可以假定@pageSize為20，@strGetFields為 ‘*'，@tblName為UserAccount,@strOrder為' ORDER BY ID DESC' 那么上面一行可以寫成如下形式：
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'

我們可以假定用戶輸入的模糊用戶名是: Jim's dog
我們用SqlParameter傳遞參數(shù)給分頁(yè)存儲(chǔ)過(guò)程@strWhere 的值是：'UserName LIKE ‘'%Jim'' dog%'''(注意LIKE后邊的字符串中的單引號(hào)已經(jīng)全部變成兩個(gè)單引號(hào)了)，我們將這個(gè)值代入上面的@strSQL賦值語(yǔ)句中,如下：

set @strSQL = 'SELECT TOP 20 * from [UserAccount] where UserName LIKE ''%Jim'' dog%'' ORDER BY ID DESC'

讓我們寫上聲明變量的部分執(zhí)行在查詢分析器中測(cè)試一下，代碼如下：



大家可以把上面幾行代碼粘貼到查詢分析器中執(zhí)行一下，就可以看到下面的畫面：

在消息的第一行，打印出了要執(zhí)行的sql語(yǔ)句,很顯然此語(yǔ)句的 LIKE ‘%Jim' 后面的部分全部被截?cái)嗔?，也就是說(shuō)如果用戶輸入的不是Jim's dog而是Jim' delete from UserAccount那么會(huì)正確的執(zhí)行刪除操作，傳說(shuō)中的sql注入就會(huì)出現(xiàn)了。


問(wèn)題出現(xiàn)了，我們應(yīng)該怎么解決問(wèn)題？

1． 很顯然我們使用SqlParameter傳遞參數(shù)已經(jīng)將單引號(hào)替換成了連個(gè)單引號(hào)了，可是因?yàn)槲覀冊(cè)跀?shù)據(jù)庫(kù)中拼串導(dǎo)致替換并不能解決問(wèn)題。

2． 根據(jù)我的實(shí)驗(yàn)證明如果使用存儲(chǔ)過(guò)程不可能解決這個(gè)問(wèn)題，我們只有將這個(gè)存儲(chǔ)過(guò)程要執(zhí)行的拼串操作放到數(shù)據(jù)訪問(wèn)層去做，才可以避免這個(gè)問(wèn)題。

如果大家有在存儲(chǔ)過(guò)程中解決這個(gè)問(wèn)題的辦法，請(qǐng)不吝賜教。


備注：本文說(shuō)的是MS SQL Server2000 的數(shù)據(jù)庫(kù)，而非使用SQL 2005的新特性分頁(yè)。

最新評(píng)論