SQL注入漏洞 详解

漏洞影响	攻击者利用该漏洞可能致使 1.网页被篡改 2.数据被篡改 3. 核心数据被窃取 4. 数据库所在服务器被攻击变成傀儡主机

 

解决方法：

1.      过滤用户输入的内容，检查用户输入的内容中是否有非法内容。如，|（竖线符号）、 & （& 符号）、;（分号）、$（美圆符号）、%（百分比符号）、@（at 符号）、\'（单引号）、"（引号）、\\\'（反斜杠转义单引号）、\\"（反斜杠转义引号）、<>（尖括号）、()（括号）、+（加号）、 CR（回车符，ASCII 0x0d）、 LF（换行，ASCII 0x0a）、,（逗号）、\\（反斜杠）、)（结束括号）等符号。

2.      过滤危险的SQL语句关键字，如select,from,update,insert,delete等。

3.      利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。当使用存储过程时，请利用 ADO 命令对象来实施它们，以强化变量类型。

4.      使用防注入系统。

5.      修复示例

Asp.Net

如下是保护 Web 应用程序免遭 SQL 注入攻击的两种可行方法：

5.1  使用存储过程，不用动态构建的 SQL 查询字符串。将参数传递给 SQL Server 存储过程的方式，可防止使用单引号和连字符。

如下是如何在ASP.NET 中使用存储过程的简单示例：

  \' Visual Basic example

  Dim DS As DataSet

  Dim MyConnection AsSqlConnection

  Dim MyCommand AsSqlDataAdapter

 

  Dim SelectCommand As String= "select * from users where username = @username"

  ...

  MyCommand.SelectCommand.Parameters.Add(NewSqlParameter("@username", SqlDbType.NVarChar, 20))

 MyCommand.SelectCommand.Parameters("@username").Value =UserNameField.Value

 

 

  // C# example

  String selectCmd ="select * from Authors where state = @username";

  SqlConnection myConnection =new SqlConnection("server=...");

  SqlDataAdapter myCommand =new SqlDataAdapter(selectCmd, myConnection);

 

 myCommand.SelectCommand.Parameters.Add(newSqlParameter("@username", SqlDbType.NVarChar, 20));

  myCommand.SelectCommand.Parameters["@username"].Value= UserNameField.Value;

5.2  您可使用验证控件，将输入验证添加到“Web 表单”页面。验证控件提供适用于全部常见类型的标准验证的易用机制，例如，测试验证日期是否有效，或验证值是否在范围内，以及进行自定义编写验证的方法。此外，验证控件还可使您可以完整定义向用户显示错误信息的方式。验证控件可搭配“Web 表单”页面的类文件中处理的任何控件使用，其中包括 HTML 和 Web 服务器控件。为了确保用户输入仅包含有效值，您可使用如下其中一种验证控件：

5.2.1 “RangeValidator”：检查用户条目（值）是否在指定的上下界限之间。 您能够检查配对数字、字母字符和日期内的范围。

5.2.2 “RegularExpressionValidator”：检查条目是否与正则表达式定义的模式相匹配。 此类型的验证使您可以检查可预见的字符序列，如电子邮件地址、电话号码、邮政编码等中的字符序列。最后：验证控件不会阻止用户输入或更改页面处理流程；它们只会设置错误状态，并产生错误消息。程序员的职责是，在执行进一步的应用程序特定操做前，测试代码中控件的状态。有两种方法可检查用户输入的有效性： 1. 测试常规错误状态：在您的代码中，测试页面的 IsValid 属性。该属性会将页面上全部验证控件的 IsValid 属性值汇总（使用逻辑 AND）。若是将其中一个验证控件设置为无效，那么页面属性将会返回 false。 2. 测试个别控件的错误状态：在页面的“验证器”集合中循环，该集合包含对全部验证控件的引用。而后，您就能够检查每一个验证控件的 IsValid 属性。

 

PHP

5.3过滤用户输入

将任何数据传给 SQL 查询以前，应始终先使用筛选技术来适当过滤。 这不管如何强调都不为过。 过滤用户输入可以让许多注入缺陷在到达数据库以前便获得更正。

5.4将用户输入加引号

不论任何数据类型，只要数据库容许，便用单引号括住全部用户数据。

5.5 转义数据值

若是使用 MySQL4.3.0 或更新的版本，您应该用 mysql_real_escape_string() 来转义全部字符串。 若是使用旧版的 MySQL，便应该使用mysql_escape_string() 函数。若是未使用 MySQL，您能够选择使用特定数据库的特定换码功能。若是不知道换码功能，您能够选择使用较通常的换码功能，例如，addslashes()。

若是使用 PEAR DB 数据库抽象层，您可使用DB::quote() 方法或使用 ? 之类的查询占位符，它会自动转义替换占位符的值。参考资料http://ca3.php.net/mysql_real_escape_string

http://ca.php.net/mysql_escape_string

http://ca.php.net/addslasheshttp://pear.php.net/package-info.php?package=DB

 

5.6输入数据验证：虽然为方便用户而在客户端层上提供数据验证，但仍必须始终在服务器层上执行数据验证。客户端验证自己就不安全，由于这些验证可轻易绕过，例如，经过禁用 Javascript。一个好的设计一般须要 Web 应用程序框架，以提供服务器端实用程序例程，从而验证如下内容：必需字段，字段数据类型（缺省状况下，全部 HTTP 请求参数都是“字符串”），字段长度，字段范围，字段选项，字段模式， cookie 值，HTTP 响应等，如下部分描述一些检查的示例。

  // PHP example to validaterequired fields

  functionvalidateRequired($input) {

      ...

      $pass = false;

      if(strlen(trim($input))>0){

          $pass = true;

      }

      return $pass;

      ...

  }

  ...

  if(validateRequired($fieldName)) {

      // fieldName is valid,continue processing request

      ...

  }

J2EE

** 预编译语句：

如下是保护应用程序免遭 SQL 注入（即恶意篡改 SQL 参数）的三种可行方法。使用如下方法，而非动态构建 SQL 语句：

5.7 PreparedStatement，经过预编译而且存储在PreparedStatement 对象池中。 PreparedStatement 定义 setter 方法，以注册与受支持的 JDBC SQL 数据类型兼容的输入参数。例如，setString 应该用于 VARCHAR 或 LONGVARCHAR 类型的输入参数（请参阅 Java API，以获取进一步的详细信息）。经过这种方法来设置输入参数，可防止攻击者经过注入错误字符（如单引号）来操纵 SQL 语句。

如何在 J2EE 中使用 PreparedStatement 的示例：

 

  //J2EE PreparedStatemenet Example

  //Get a connection to the database

 Connection myConnection;

  if(isDataSourceEnabled()) {

     // using the DataSource to get a managed connection

     Context ctx = new InitialContext();

     myConnection =((DataSource)ctx.lookup(datasourceName)).getConnection(dbUserName, dbPassword);

  }else {

     try {

         // using the DriverManager to get a JDBC connection

         Class.forName(jdbcDriverClassPath);

         myConnection = DriverManager.getConnection(jdbcURL, dbUserName,dbPassword);

     } catch (ClassNotFoundException e) {

         ...

     }

  }

  ...

  try{

     PreparedStatement myStatement =myConnection.prepareStatement("select * from users where username =?");

      myStatement.setString(1, userNameField);

     ResultSet rs = myStatement.executeQuery();

     ...

     rs.close();

  }catch (SQLException sqlException) {

     ...

  }finally {

     myStatement.close();

     myConnection.close();

  }

 

 

5.8 CallableStatement，扩展PreparedStatement 以执行数据库 SQL 存储过程。该类继承 PreparedStatement 的输入 setter 方法（请参阅上面的 [1]）。

如下示例假定已建立该数据库存储过程：

CREATE PROCEDURE select_user (@usernamevarchar(20)) AS SELECT * FROM USERS WHERE USERNAME = @username;

如何在 J2EE 中使用 CallableStatement 以执行以上存储过程的示例：

 

  //J2EE PreparedStatemenet Example

  //Get a connection to the database

 Connection myConnection;

  if(isDataSourceEnabled()) {

     // using the DataSource to get a managed connection

     Context ctx = new InitialContext();

     myConnection =((DataSource)ctx.lookup(datasourceName)).getConnection(dbUserName, dbPassword);

  }else {

     try {

         // using the DriverManager to get a JDBC connection

         Class.forName(jdbcDriverClassPath);

         myConnection = DriverManager.getConnection(jdbcURL, dbUserName,dbPassword);

     } catch (ClassNotFoundException e) {

         ...

     }

  }

  ...

  try{

     PreparedStatement myStatement = myConnection.prepareCall("{?= callselect_user ?,?}");

     myStatement.setString(1, userNameField);

     myStatement.registerOutParameter(1, Types.VARCHAR);

     ResultSet rs = myStatement.executeQuery();

     ...

     rs.close();

  }catch (SQLException sqlException) {

     ...

  }finally {

     myStatement.close();

     myConnection.close();

  }

 

 

5.9实体 Bean，表明持久存储机制中的EJB 业务对象。实体 Bean 有两种类型：bean 管理和容器管理。当使用 bean 管理的持久性时，开发者负责撰写访问数据库的 SQL 代码。当使用容器管理的持久性时，EJB 容器会自动生成 SQL 代码。所以，容器要负责防止恶意尝试篡改生成的 SQL 代码。

如何在 J2EE 中使用实体 Bean 的示例：

  //J2EE EJB Example

  try{

      // lookup the User home interface

     UserHome userHome = (UserHome)context.lookup(User.class);   

     // find the User remote interface

     User = userHome.findByPrimaryKey(new UserKey(userNameField));   

     ...   

  }catch (Exception e) {

      ...

  }

 

 

推荐使用的 JAVA 工具不适用

参考资料http://java.sun.com/j2se/1.4.1/docs/api/java/sql/PreparedStatement.htmlhttp://java.sun.com/j2se/1.4.1/docs/api/java/sql/CallableStatement.html