SQL Injection

一、SQL Injection方式：

1.恒真表达式查询到超出用户权限的信息；

2.“；”分号会结束之前的sql语句，在“；”继续写sql，直接进行数据库操作；

3.“‘”，“--”

4.获取到数据库表名，直接对表进行“drop，delete，insert，selecte”等操作。

二、基本原则：

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"--"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。

三、避免方式

1. 通过正则表达校验用户输入：

正则表达式定义如下：

private staticreadonly Regex RegSystemThreats =

        newRegex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|"+

            @"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?",

            RegexOptions.Compiled | RegexOptions.IgnoreCase);

但使用正则表达式只能防范一些常见或已知SQL Injection方式，而且每当发现有新的攻击方式时，都要对正则表达式进行修改，这可是吃力不讨好的工作。

2. 通过参数化存储过程进行数据查询存取

当我们试图在URL中嵌入恶意的SQL语句时，参数化存储过程已经帮我们校验出传递给数据库的变量不是整形，而且使用存储过程的好处是我们还可以很方便地控制用户权限，我们可以给用户分配只读或可读写权限。

但我们想想真的有必要每个数据库操作都定义成存储过程吗？而且那么多的存储过程也不利于日常的维护。

3. 参数化SQL语句

4. 添加新架构

5. LINQ to SQL

var dc = new pubsDataContext();

int result;

 

// Validates jobIdis int or not.

if (int.TryParse(jobId, outresult))

{

    gdvData.DataSource = dc.jobs.Where(p =>p.job_id == result);

    gdvData.DataBind();

}