浅入浅出：SQL注入

什么是SQL注入？

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。  比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．

如何防止SQL注入？

一、参数化SQL

 

    是指在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，用@来表示参数。

 

    在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有恶意的指令，由于已经编译完成，就不会被数据库所运行,因此，可从一定程度上避免SQL注入。（注意：只是一定程度上避免，仍有例外）

 

在不用的数据库上基本语法都是一样的，但在不同的运行平台上客户端的书写有不同之处，举例使用SQL server在.net上执行。

 

SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2)", sqlconn);

sqlcmd.Parameters.AddWithValue("@c1", 1); ' 设定参数 @c1 的值。

sqlcmd.Parameters.AddWithValue("@c2", 2); ' 设定参数 @c2 的值。

sqlconn.Open();

sqlcmd.ExecuteNonQuery();

sqlconn.Close();

 

注意：

 

1、如果存储过程中使用字符串拼接sql的话，上面的参数化将不会起作用，单引号必须经过判断并替换，在数据库中，用2个单引号代表1个实际的单引号。所以，如果是拼接sql字符串的方式，需要用Replace(@para,'''', '''''')来替换一下，将1个单引号替换为2个就没有问题了。

 

2、使用这种参数化查询的办法，防止SQL注入的任务就交给ADO.NET了, 如果在项目中统一规定必须使用参数化查询，就不用担心因个别程序员的疏忽导致的SQL注入漏洞了。     但是，问题还没有完，SQL注入的漏洞是堵住了，但是查询结果的正确性，参数化查询并不能帮上什么忙。

 

 

二、字符串过滤（在上面方法不能阻止的情况下，可以使用该方法,不推荐使用）

 

//字符串过滤，防止sql注入。

        public bool IsHasSQLInject(string str)

        {

            bool isHasSQLInject = false;

 

//字符串中的关键字更具需要添加

            string inj_str = "'|and|exec|union|create|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|xp_|or|--|+";

            str = str.ToLower().Trim();

            string[] inj_str_array = inj_str.Split('|');

            foreach (string sql in inj_str_array)

            {

                if (str.IndexOf(sql) > -1)

                {

                    isHasSQLInject = true;

                    break;

                }

            }

            return isHasSQLInject;

        }

 

三、使用正则表达式过滤传入的参数（这个方法没有亲自验证，从网上找来的）

 

下面是具体的正则表达式：

 

检测SQL meta-characters的正则表达式 ：/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

 

修正检测SQL meta-characters的正则表达式 ：

/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

 

典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

 

检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

 

检测MS SQL Server SQL注入攻击的正则表达式：/exec(\s|\+)+(s|x)p\w+/ix

 

结合Regular Expression使用，简称RE是一种非常强大的文字验证技术。If Re.Mathc(str,pattern).Success Then 继续执行，这里使用Match方法来对用户输入的内容与定义好的模板进行验证。

 

四、前端js防范SQL注入（前端验证只能起到一定作用，还需要后台参数化阻止SQL注入）

 

var url = location.search;

var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\"|:|net%20user|\|%20or%20)(.*)$/gi;

var e = re.test(url);

if(e) {

    alert("地址中含有非法字符～");

    location.href="error.asp";

}

 

总结：

归纳一下，主要有以下几点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和

双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。