欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

LOGO OA教程 ERP教程 模切知識(shí)交流 PMS教程 CRM教程 開(kāi)發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

SQL 注入式攻擊的終極防范

admin
2011年5月2日 23:26 本文熱度 2713
前一篇我們已經(jīng)講了SQL注入攻擊漏洞產(chǎn)生的本質(zhì)是由編程人員編碼的不當(dāng)造成的,下面我們就來(lái)繼續(xù)講如何才是正確的編碼,才不會(huì)受到SQL注入的攻擊
在講這個(gè)問(wèn)題之前讓我們來(lái)先看一段代碼:
復(fù)制代碼 代碼如下:
dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('SQL防注入系統(tǒng)提示,請(qǐng)不要在嘗試注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('SQL防注入系統(tǒng)提示,請(qǐng)不要在嘗試注入!');history.back(-1)</Script>"
Response.end
end if
next
next
end if

這是一段在互聯(lián)網(wǎng)上廣泛流行的ASP防注入的代碼,其思想是通過(guò)對(duì)Post方法和Get方法提交的數(shù)據(jù)進(jìn)行檢查,通過(guò)過(guò)濾Insert、Update、And等等這些敏感字符的辦法來(lái)防止受到SQL注入式的攻擊,從理論上來(lái)說(shuō)如果我們過(guò)濾了足夠多的字符那是絕對(duì)可以保證不會(huì)受到SQL注入式攻擊的,但是請(qǐng)?jiān)僮屑?xì)閱讀一下這段代碼,注意一下它的判斷方式,它是通過(guò)instr函數(shù)來(lái)判斷的,也就是說(shuō)如果我要過(guò)濾and字符,實(shí)際上被過(guò)濾的不僅僅是And這個(gè)單詞,同時(shí)把所有包含and這種字符組合方式的所有單詞都給過(guò)濾掉了,比如island、mainland、hand…………,如果把這些字符都過(guò)濾了還有人會(huì)愿意用嗎?所以這種過(guò)濾敏感字符的方法根本就沒(méi)有意義,讓我比較意外的是這么一個(gè)垃圾東西居然在互聯(lián)網(wǎng)上被人奉為經(jīng)典的貼來(lái)貼去,真是無(wú)語(yǔ)。
有人說(shuō)SQL注入式攻擊是因?yàn)槠唇覵QL查詢字符串造成的,所以使用存儲(chǔ)過(guò)程不使用拼接SQL查詢字符串的方式可以不受SQL注入式的攻擊,真是這樣嗎?不見(jiàn)得,下面再讓我們來(lái)看一個(gè)存儲(chǔ)過(guò)程被注入攻擊的例子。
存儲(chǔ)過(guò)程dt_GetNews代碼如下:
CREATE PROCEDURE dt_GetNews
@newstype int
AS
select * from news where newstype=@newstype
GO
調(diào)用的代碼:
<%
dim adoconnection
set adoconnection=server.createobject("adodb.connection")
'…………這里省略了建立數(shù)據(jù)庫(kù)連接的相關(guān)代碼
adoconnection.execute "exec dt_GetNews "+request("newstype")
adoconnection.close
%>
如果request("newstype")的值等于1,運(yùn)行的結(jié)果是返回news表中所有newstype字段為1的記錄,但是如果request("newstype")的值是"1;drop table news"呢,返回的結(jié)果是news表被刪除。
從這個(gè)例子中可以看出來(lái)即便是用存儲(chǔ)過(guò)程同樣也會(huì)被攻擊,再說(shuō)了select * from news where newstype=@newstype難道就不是拼接,所以說(shuō)拼接SQL查詢字符串和SQL注入攻擊之間沒(méi)有必然的聯(lián)系,存儲(chǔ)過(guò)程也不一定能防御注入式攻擊。
那么究竟怎么寫(xiě)才不會(huì)受到SQL注入攻擊呢,下面我就介紹一種終極方法,說(shuō)白了很簡(jiǎn)單也很原始就是數(shù)據(jù)類型驗(yàn)證加單引號(hào)替換。不管是Oracle、Sql Server還是mySql、Access還是別的關(guān)系數(shù)據(jù)庫(kù),字段的類型大體上可以分為兩大類:數(shù)值型(如:int、float等)和字符型(如:char、varchar等),根據(jù)字段類型的不同對(duì)應(yīng)的SQL語(yǔ)句也略有區(qū)別,比如:
“Select * from news where newstype=1”里面newstype字段必然是一個(gè)數(shù)值型的字段,
”select * from news where newstype='社會(huì)新聞'”里面newstype字段必然是一個(gè)字符型的字段。
針對(duì)數(shù)值型的字段,我們必須要做的是一定要檢查參數(shù)的數(shù)據(jù)類型,比如我們用”select * from news where newstype=”+v_newstype這種方式構(gòu)造查詢語(yǔ)句的時(shí)候必須檢查v_newstype變量的數(shù)據(jù)類型,v_newstype至少得是一個(gè)數(shù),可以是整數(shù)也可以是浮點(diǎn)數(shù),如果作了這樣的檢查,”select * from news where newstype=”+v_newstype這種方式就絕對(duì)不會(huì)構(gòu)造出類似”select * from news where newstype=1;drop table news”這樣的語(yǔ)句。ASP相對(duì)ASP.Net、JSP等更容易受到攻擊的原因,就是因?yàn)樵贏SP中變量可以不用申明以及變量類型不明確導(dǎo)致的。
針對(duì)字符型的字段,我們必須要做的是一定要處理單引號(hào)('),處理的方法就是將一個(gè)單引號(hào)替換成兩個(gè)的單引號(hào)(‘'),比如我們用”select * from news where newstype='”+v_newstype+”'”這種方式構(gòu)造查詢語(yǔ)句的時(shí)候必須將v_newstype里的單引號(hào)替換成兩個(gè)單引號(hào),因?yàn)樵赟QL中被兩個(gè)單引號(hào)括起來(lái)的部分表示一個(gè)字符串,而連續(xù)的兩個(gè)單引號(hào)則表示一個(gè)單引號(hào)字符,做了這樣的處理以后再來(lái)看”select * from news where newstype='”+v_newstype+”'”這種構(gòu)造方式,當(dāng)v_newstype的值為:
“社會(huì)新聞';drop table news--”
經(jīng)過(guò)一個(gè)單引號(hào)到兩個(gè)單引號(hào)的替換后v_newstype的值就成了:
“社會(huì)新聞'';drop table news--”
構(gòu)造出來(lái)的SQL語(yǔ)句成了:
”select * from news where newstype='社會(huì)新聞'';drop table news—‘”
查詢的結(jié)果是返回news表中newstype字段的值為”社會(huì)新聞';drop table news--”的記錄,而并不會(huì)像之前那樣造成news表被刪除的后果。
另外,需要做處理的不僅僅是Select語(yǔ)句,包括Insert、Update、Delete、Exec等等都需要處理,大家可以再看看以下這幾種注入方式:
在"insert into news(title) values('"+v_title+"')"這種構(gòu)造中,
當(dāng)v_title="123';drop table news--'"的時(shí)候;
在"update news set title='"+v_title+"' where id="+v_id這種構(gòu)造中,
當(dāng)v_title="123'--" 或者 v_id="1;drop table news--" 的時(shí)候,所以不光是Select語(yǔ)句的問(wèn)題,其他語(yǔ)句都可能會(huì)有問(wèn)題,不要僅僅盯著Select
總之,做好了數(shù)據(jù)類型的驗(yàn)證和單引號(hào)字符的處理以后,就算它孫猴子有萬(wàn)般能耐也飛不出我如來(lái)的掌心。

該文章在 2011/5/2 23:26:28 編輯過(guò)
關(guān)鍵字查詢
相關(guān)文章
正在查詢...
點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。
點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點(diǎn),圍繞調(diào)度、堆場(chǎng)作業(yè)而開(kāi)發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體,是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。
點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。
點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi),不限功能、不限時(shí)間、不限用戶的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved