ASP.NET如何防止SQL注入

　　一、什么是SQL注入式攻擊?

　　所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請求的查詢(xún)字符串，欺騙服務(wù)器執行惡意的SQL命令。在某些表單中，用戶(hù)輸入的內容直接用來(lái)構造(或者影響)動(dòng)態(tài)SQL命令，或作為存儲過(guò)程的輸入參數，這類(lèi)表單特別容易受到SQL注入式攻擊。常見(jiàn)的SQL注入式攻擊過(guò)程類(lèi)如：

　�、� 某個(gè)ASP.NET Web應用有一個(gè)登錄頁(yè)面，這個(gè)登錄頁(yè)面控制著(zhù)用戶(hù)是否有權訪(fǎng)問(wèn)應用，它要求用戶(hù)輸入一個(gè)名稱(chēng)和密碼。

　�、� 登錄頁(yè)面中輸入的內容將直接用來(lái)構造動(dòng)態(tài)的SQL命令，或者直接用作存儲過(guò)程的參數。下面是ASP.NET應用構造查詢(xún)的一個(gè)例子：

　　System.Text.StringBuilder query = new System.Text.StringBuilder(”select * from Users where login = ’”)。Append(txtLogin.Text)。Append(”’ AND password=’”)。Append(txtPassword.Text)。Append(”’”);

　�、� 攻擊者在用戶(hù)名字和密碼輸入框中輸入”’或’1’=’1″之類(lèi)的內容。

　�、� 用戶(hù)輸入的內容提交給服務(wù)器之后，服務(wù)器運行上面的ASP.NET代碼構造出查詢(xún)用戶(hù)的SQL命令，但由于攻擊者輸入的內容非常特殊，所以最后得到的 SQL命令變成：select * from Users where login = ’’ or ’1’=’1’ AND password = ’’ or ’1’=’1’.

　�、� 服務(wù)器執行查詢(xún)或存儲過(guò)程，將用戶(hù)輸入的身份信息和服務(wù)器中保存的身份信息進(jìn)行對比。

　�、� 由于SQL命令實(shí)際上已被注入式攻擊修改，已經(jīng)不能真正驗證用戶(hù)身份，所以系統會(huì )錯誤地授權給攻擊者。

　　如果攻擊者知道應用會(huì )將表單中輸入的內容直接用于驗證身份的查詢(xún)，他就會(huì )嘗試輸入某些特殊的SQL字符串篡改查詢(xún)改變其原來(lái)的功能，欺騙系統授予訪(fǎng)問(wèn)權限。

　　系統環(huán)境不同，攻擊者可能造成的損害也不同，這主要由應用訪(fǎng)問(wèn)數據庫的安全權限決定。如果用戶(hù)的帳戶(hù)具有管理員或其他比較高級的權限，攻擊者就可能對數據庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。

　　二、如何防范?

　　好在要防止ASP.NET應用被SQL注入式攻擊闖入并不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL命令之前，把所有輸入內容過(guò)濾一番就可以了。過(guò)濾輸入內容可以按多種方式進(jìn)行。

　�、� 對于動(dòng)態(tài)構造SQL查詢(xún)的場(chǎng)合，可以使用下面的技術(shù)：

　　第一：替換單引號，即把所有單獨出現的單引號改成兩個(gè)單引號，防止攻擊者修改SQL命令的含義。再來(lái)看前面的例子，”select * from Users where login = ’’’ or ’’1’’=’’1’ AND password = ’’’ or ’’1’’=’’1’”顯然會(huì )得到與”select * from Users where login = ’’ or ’1’=’1’ AND password = ’’ or ’1’=’1’”不同的結果。

　　第二：刪除用戶(hù)輸入內容中的所有連字符，防止攻擊者構造出類(lèi)如”select * from Users where login = ’mas’ —— AND password =’’”之類(lèi)的查詢(xún)，因為這類(lèi)查詢(xún)的后半部分已經(jīng)被注釋掉，不再有效，攻擊者只要知道一個(gè)合法的用戶(hù)登錄名稱(chēng)，根本不需要知道用戶(hù)的.密碼就可以順利獲得訪(fǎng)問(wèn)權限。

　　第三：對于用來(lái)執行查詢(xún)的數據庫帳戶(hù)，限制其權限。用不同的用戶(hù)帳戶(hù)執行查詢(xún)、插入、更新、刪除操作。由于隔離了不同帳戶(hù)可執行的操作，因而也就防止了原本用于執行select命令的地方卻被用于執行insert、update或delete命令。

　�、� 用存儲過(guò)程來(lái)執行所有的查詢(xún)。SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實(shí)施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過(guò)程執行，所有的用戶(hù)輸入必須遵從被調用的存儲過(guò)程的安全上下文，這樣就很難再發(fā)生注入式攻擊了。

　�、� 限制表單或查詢(xún)字符串輸入的長(cháng)度。如果用戶(hù)的登錄名字最多只有10個(gè)字符，那么不要認可表單中輸入的10個(gè)以上的字符，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

　�、� 檢查用戶(hù)輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶(hù)端和服務(wù)器端都執行——之所以要執行服務(wù)器端驗證，是為了彌補客戶(hù)端驗證機制脆弱的安全性。

　　在客戶(hù)端，攻擊者完全有可能獲得網(wǎng)頁(yè)的源代碼，修改驗證合法性的腳本(或者直接刪除腳本)，然后將非法內容通過(guò)修改后的表單提交給服務(wù)器。因此，要保證驗證操作確實(shí)已經(jīng)執行，唯一的辦法就是在服務(wù)器端也執行驗證。你可以使用許多內建的驗證對象，例如 RegularExpressionValidator，它們能夠自動(dòng)生成驗證用的客戶(hù)端腳本，當然你也可以插入服務(wù)器端的方法調用。如果找不到現成的驗證對象，你可以通過(guò)CustomValidator自己創(chuàng )建一個(gè)。

　�、� 將用戶(hù)登錄名稱(chēng)、密碼等數據加密保存。加密用戶(hù)輸入的數據，然后再將它與數據庫中保存的數據比較，這相當于對用戶(hù)輸入的數據進(jìn)行了”消毒”處理，用戶(hù)輸入的數據不再對數據庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。 System.Web.Security.FormsAuthentication類(lèi)有一個(gè) HashPasswordForStoringInConfigFile，非常適合于對輸入數據進(jìn)行消毒處理。

　�、� 檢查提取數據的查詢(xún)所返回的記錄數量。如果程序只要求返回一個(gè)記錄，但實(shí)際返回的記錄卻超過(guò)一行，那就當作出錯處理。

【ASP.NET如何防止SQL注入】相關(guān)文章：

PHP如何防止SQL注入01-03

PHP防止SQL注入的例子09-18

PHP中該怎樣防止SQL注入11-10

關(guān)于SQL注入攻擊與防范11-08

SQL注入攻擊的種類(lèi)有哪些11-30

PHP阻止SQL注入式攻擊的方法11-14

ASP的SQL防注入過(guò)濾涵數11-13

ASP.NET連SQL7接口的源代碼11-11

如何防止簡(jiǎn)歷誤區08-20