什么是SQL注入式攻击？
所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如：
⑴ 某个ASP.NET Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。
⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子：
System.Text.StringBuilder query = new System.Text.StringBuilder(&& "SELECT * from Users WHERE login = '")&& .Append(txtLogin.Text).Append("' AND password='")&& .Append(txtPassword.Text).Append("'");
⑶ 攻击者在用户名字和密码输入框中输入"'或'1'='1"之类的内容。
⑷ 用户输入的内容提交给服务器之后，服务器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
⑸ 服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比。
⑹ 由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表
如何防范SQL注入式攻击？
好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
⑴ 对于动态构造SQL查询的场合，可以使用下面的技术：
第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，"SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'"显然会得到与"SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'"不同的结果。
第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如"SELECT * from Users WHERE login = 'mas' -- AND password =''"之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访问权限。
第三：对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行&&之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。
在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本（或者直接删除脚本），然后将非法内容通过修改后的表单提交给服务器。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如 RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象，你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了"消毒"处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。 System.Web.Security.FormsAuthentication类有一个 HashPasswordForStoringInConfigFile，非常适合于对输入数据进行消毒处理。
⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理
阅读(...) 评论()互联网安全在线教育旗舰
旗下 · All rights reserved.16668人阅读
摘要: 防止SQL注入
一、SQL注入简介
&&& SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。
二、SQL注入攻击的总体思路
1.寻找到SQL注入的位置
2.判断服务器类型和后台数据库类型
3.针对不通的服务器和数据库特点进行SQL注入攻击
三、SQL注入攻击实例
比如在一个登录界面，要求输入用户名和密码：
可以这样输入实现免帐号登录：
用户名： ‘or 1 = 1 –
点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)
这是为什么呢? 下面我们分析一下：
从理论上说，后台认证程序中会有如下的SQL语句：
String sql = &select * from user_table where username=
' &+userName+& ' and password=' &+password+& '&;
当输入了上面的用户名和密码，上面的SQL语句变成：
SELECT * FROM user_table WHERE username=
'’or 1 = 1 -- and password='’
分析SQL语句：
条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；
然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。
这还是比较温柔的，如果是执行
SELECT * FROM user_table WHERE
username='' ;DROP DATABASE (DB Name) --' and password=''
….其后果可想而知…
四、应对方法
下面我针对JSP，说一下应对方法：
1.（简单又有效的方法）PreparedStatement
采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。
使用好处：
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.
2.使用正则表达式过滤传入的参数
要引入的包：
import java.util.regex.*;
正则表达式：
private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;
判断是否匹配：
Pattern.matches(CHECKSQL,targerStr);
下面是具体的正则表达式：
检测SQL meta-characters的正则表达式 ：
/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix
修正检测SQL meta-characters的正则表达式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\’))union/ix(\%27)|(\’)
检测MS SQL Server SQL注入攻击的正则表达式：
/exec(\s|\+)+(s|x)p\w+/ix
3.字符串过滤
比较通用的一个方法：
（||之间的参数可以根据自己程序的需要添加）
public static boolean sql_inj(String str)
String inj_str = &'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,&;
String inj_stra[] = split(inj_str,&|&);
for (int i=0 ; i & inj_stra. i++ )
if (str.indexOf(inj_stra[i])&=0)
4.jsp中调用该函数检查是否包函非法字符
防止SQL从URL注入：
sql_inj.java代码：
package sql_
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.S
public class sql_inj{
public static boolean sql_inj(String str)
String inj_str = &'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,&;
//这里的东西还可以自己添加
String[] inj_stra=inj_str.split(&\\|&);
for (int i=0 ; i & inj_stra. i++ )
if (str.indexOf(inj_stra[i])&=0)
5.JSP页面判断代码：
使用javascript在客户端进行不安全字符屏蔽
功能介绍：检查是否含有”‘”,”\\”,”/”
参数说明：要检查的字符串
返回值：0：是1：不是
function check(a)
fibdn = new Array (”‘” ,”\\”,”/”);
for (ii=0; ii＜i; ii++)
{ for (jj=0; jj＜j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem’; p1==temp2)
{ return 0; }
===================================
总的说来，防范一般的SQL注入只要在代码规范上下点功夫就可以了。
凡涉及到执行的SQL中有变量时，用JDBC（或者其他数据持久层）提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：20949次
排名：千里之外
(2)(1)(2)(5)(1)本文讲的是防止SQL注入攻击，
说起防止SQL注入攻击，感觉很郁闷，这么多年了大家一直在讨论，也一直在争论，可是到了现在似乎还是没有定论。当不知道注入原理的时候会觉得很神奇，怎么就被注入了呢？会觉得很难预防。但是当知道了注入原理之后预防不就是很简单的事情了吗？
说起防止SQL注入攻击，感觉很郁闷，这么多年了大家一直在讨论，也一直在争论，可是到了现在似乎还是没有定论。当不知道注入原理的时候会觉得很神奇，怎么就被注入了呢？会觉得很难预防。但是当知道了注入原理之后预防不就是很简单的事情了吗？
　　第一次听说SQL注入攻击的时候还是在2004年（好像得知的比较晚），那是还是在写asp呢。在一次写代码的时候，有同事问我，你的这段代码防注入攻击了吗？什么攻击？这是什么呀。
　　后来到网上各种找，终于弄明白了是怎么攻击进来的了。注入攻击都是来自于客户端，无论是表单提交、URL传值还是Cookie等，其实原理都是一样的。到了服务器端可以分成三种情况：数字、日期时间、字符串。
一、数字。
　　如何注入？
　　假设我们要实现一个显示新闻的页面，我们可能会随手写下下面的代码：
string id = Request.QueryString["id"];
string sql = "select * from news where ColID=" +
　　如果传递过来的 id是我们想像的 数字（比如168），那么自然不会有什么问题。但是如果传递过来的id是“168 delete from table ”的话，那么sql的值就变成了“select * from table where ColID=168 delete from news”。对于SQL Server来说是支持一次提交多条SQL语句的，这个为我们提供了方便之余也为SQL注入敞开了大门。显然如果这条SQL语句被执行的话，那么news表里的记录就都没有了。
　那么如何预防呢？很简单，因为ColID字段的类型是int的，那么我们只需要验证一下传递过来的id是不是整数就可以了。是整数就不存在注入；如果不是那么就有可能存在注入。即使不存在注入，把一个不是整数的id拼接进去也会造成执行错误。
　　所以说不管是不是为了预防SQL注入，也都应该验证id是不是整数。　　
　　验证方法嘛，可以用TryParse，可以用正则，也可以自己写函数验证。但是不建议用try异常的方式，因为这个有效率问题。
　　这里还有一个特殊情况，就是对于批量删除这类的会传递过来多个数字，比如“1，2，3，10”，这个也需要验证一下，万一有人利用这个漏洞呢。至于验证方法也很简单，自己写个函数就ok了。
二、日期时间
　　这个和数字的情况是一样的，验证是不是日期时间即可。
三、字符串
　　最麻烦、争议最大的就是这个了。
　　先看一下如何注入
　　比如我们先要按照新闻标题来进行查询，可能写的代码：
string key = txtTitle.T
string sql = "select * from news where title like '%" + key + "%'";
　　这个又是如何注入的呢？我想先问大家一个问题：如果key的值永远都不会包含单引号，那么会不会被注入进来？
　　那么用了单引号又是如何注入的呢？假设key=" ' delete from news --" ，那么sql的值就是“ select * from news where title like '%' delete from news -- ' ”。
　　先用一个单引号和前面的单引号组成一对封闭的单引号，这一对单引号内部（'%'）就作为字符串处理，而外面的就被作为SQL语句处理，而第二个单引号被 “--”给注释掉了，这样就保证了整个sql语句的正确性。
　　这是注入的一种方法。
　　那么如何来防止呢？想想刚才的问题，如果没有单引号是不是就天下太平了呢？对于这种情况（前面的“数字”的情况不算），到目前为止我是没发现不用单引号，还能够注入进来的方法。也许是我孤陋寡闻吧，不知道各位高手是否知道对于这种情况，不用单引号还能注入进来的方法。
　　既然找到了罪魁祸首，那么就好办了，把单引号干掉就ok了。key = key.Replace("'", "''");这时候sql的值就是” select * from news where title like '%'' delete from news --'”。
　　对于SQL 来说在一对单引号内部的两个单引号表示一个字符串形式的单引号。这样我们就把罪魁祸首改造成了字符串了。在一对单引号内的“--”也是普通的字符串而不代表注释。
　　罪魁祸首是单引号，想不明白为什么有许多人都去过滤 “delete、update”这一类的关键字，他们都是安善良民呀，他们是很冤枉的。当然了，如果前提是程序都已经写好了，不能修改内部代码，那就另当别论了。至于“--”顶多算是帮凶，如果您不放心的话，把他处理了也行。
　　总结：数字、日期时间的，验证类型；字符串的，处理好单引号。
　　另外为了安全起见，不要用sa连接数据库，xp_cmdshell这一类的有危险的扩展存储过程也应该处理一下（比如删除）。
以上是云栖社区小编为您精心准备的的内容，在云栖社区的博客、问答、公众号、人物、课程等栏目也有的相关内容，欢迎继续使用右上角搜索按钮进行搜索sql
sql注入攻击、防止sql注入的方法、sql注入、php防止sql注入攻击、sql注入攻击与防御，以便于您获取更多的相关知识。
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本...
RDS是一种稳定可靠、可弹性伸缩的在线数据库服务。支持MySQL、SQL Server、PostgreSQL、高...
云栖社区()为您免费提供相关信息，包括
的信息，还有sql注入攻击、防止sql注入的方法、sql注入、php防止sql注入攻击、sql注入攻击与防御等
，所有相关内容均不代表云栖社区的意见！SQL注入攻击的种类和防范手段
作者：佚名
字体：[ ] 来源：互联网 时间：07-08 01:53:24
观察近来的一些安全事件及其后果，安全专家们已经得到一个结论，这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入，但今天所讨论的内容也许可帮助你检查自己的服务器，并采取相应防范措施。
SQL注入攻击的种类 　　知彼知己，方可取胜。首先要清楚SQL注入攻击有哪些种类。 　　1.没有正确过滤转义字符 　　在用户的输入没有为转义字符过滤时，就会发生这种形式的注入式攻击，它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说，下面的这行代码就会演示这种漏洞： 　　statement := &SELECT * FROM users WHERE name = '& + userName + &';& 　　这种代码的设计目的是将一个特定的用户从其用户表中取出，但是，如果用户名被一个恶意的用户用一种特定的方式伪造，这个语句所执行的操作可能就不仅仅是代码的作者所期望的那样了。例如，将用户名变量(即username)设置为： 　　a' or 't'='t，此时原始语句发生了变化： 　　SELECT * FROM users WHERE name = 'a' OR 't'='t'; 　　如果这种代码被用于一个认证过程，那么这个例子就能够强迫选择一个合法的用户名，因为赋值't'='t永远是正确的。 　　在一些SQL服务器上，如在SQL　Server中，任何一个SQL命令都可以通过这种方法被注入，包括执行多个语句。下面语句中的username的值将会导致删除&users&表，又可以从&data&表中选择所有的数据(实际上就是透露了每一个用户的信息)。 　　a';DROP TABLE SELECT * FROM data WHERE name LIKE '% 　　这就将最终的SQL语句变成下面这个样子： 　　SELECT * FROM users WHERE name = 'a';DROP TABLE SELECT * 　　FROM DATA WHERE name LIKE '%'; 　　其它的SQL执行不会将执行同样查询中的多个命令作为一项安全措施。这会防止攻击者注入完全独立的查询，不过却不会阻止攻击者修改查询。 　　2.Incorrect type handling 　　如果一个用户提供的字段并非一个强类型，或者没有实施类型强制，就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时，如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。例如： 　　statement := &SELECT * FROM data WHERE id = & + a_variable + &;& 　　从这个语句可以看出，作者希望a_variable是一个与&id&字段有关的数字。不过，如果终端用户选择一个字符串，就绕过了对转义字符的需要。例如，将a_variable设置为:1;DROP TABLE users，它会将&users&表从数据库中删除，SQL语句变成：SELECT * FROM DATA WHERE id = 1;DROP TABLE 　　3.数据库服务器中的漏洞 　　有时，数据库服务器软件中也存在着漏洞，如MYSQL服务器中mysql_real_escape_string()函数漏洞。这种漏洞允许一个攻击者根据错误的统一字符编码执行一次成功的SQL注入式攻击。 　　4.盲目SQL注入式攻击 　　当一个Web应用程序易于遭受攻击而其结果对攻击者却不见时，就会发生所谓的盲目SQL注入式攻击。有漏洞的网页可能并不会显示数据，而是根据注入到合法语句中的逻辑语句的结果显示不同的内容。这种攻击相当耗时，因为必须为每一个获得的字节而精心构造一个新的语句。但是一旦漏洞的位置和目标信息的位置被确立以后，一种称为Absinthe的工具就可以使这种攻击自动化。 　　5.条件响应 　　注意，有一种SQL注入迫使数据库在一个普通的应用程序屏幕上计算一个逻辑语句的值： 　　SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1 　　这会导致一个标准的面面，而语句 　　SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2在页面易于受到SQL注入式攻击时，它有可能给出一个不同的结果。如此这般的一次注入将会证明盲目的SQL注入是可能的，它会使攻击者根据另外一个表中的某字段内容设计可以评判真伪的语句。 　　6.条件性差错 　　如果WHERE语句为真，这种类型的盲目SQL注入会迫使数据库评判一个引起错误的语句，从而导致一个SQL错误。例如： 　　SELECT 1/0 FROM users WHERE username='Ralph'。显然，如果用户Ralph存在的话，被零除将导致错误。 　　7.时间延误 　　时间延误是一种盲目的SQL注入，根据所注入的逻辑，它可以导致SQL引擎执行一个长队列或者是一个时间延误语句。攻击者可以衡量页面加载的时间，从而决定所注入的语句是否为真。 　　以上仅是对SQL攻击的粗略分类。但从技术上讲，如今的SQL注入攻击者们在如何找出有漏洞的网站方面更加聪明，也更加全面了。出现了一些新型的SQL攻击手段。黑客们可以使用各种工具来加速漏洞的利用过程。我们不妨看看the Asprox Trojan这种木马，它主要通过一个发布邮件的僵尸网络来传播，其整个工作过程可以这样描述：首先，通过受到控制的主机发送的垃圾邮件将此木马安装到电脑上，然后，受到此木马感染的电脑会下载一段二进制代码，在其启动时，它会使用搜索引擎搜索用微软的ASP技术建立表单的、有漏洞的网站。搜索的结果就成为SQL注入攻击的靶子清单。接着，这个木马会向这些站点发动SQL注入式攻击，使有些网站受到控制、破坏。访问这些受到控制和破坏的网站的用户将会受到欺骗，从另外一个站点下载一段恶意的JavaScript代码。最后，这段代码将用户指引到第三个站点，这里有更多的恶意软件，如窃取口令的木马。 　　以前，我们经常警告或建议Web应用程序的程序员们对其代码进行测试并打补丁，虽然SQL注入漏洞被发现和利用的机率并不太高。但近来攻击者们越来越多地发现并恶意地利用这些漏洞。因此，在部署其软件之前，开发人员应当更加主动地测试其代码，并在新的漏洞出现后立即对代码打补丁。 　　防御和检查SQL注入的手段 　　1.使用参数化的过滤性语句 　　要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。下面是一个使用Java和JDBC API例子： 　　PreparedStatement prep = conn.prepareStatement(&SELECT * FROM USERS WHERE 　　PASSWORD=?&); 　　prep.setString(1, pwd); 　　总体上讲，有两种方法可以保证应用程序不易受到SQL注入的攻击，一是使用代码复查，二是强迫使用参数化语句的。强迫使用参数化的语句意味着嵌入用户输入的SQL语句在运行时将被拒绝。不过，目前支持这种特性的并不多。如H2 数据库引擎就支持。 　　2.还要避免使用解释程序，因为这正是黑客们借以执行非法命令的手段。 　　3.防范SQL注入，还要避免出现一些详细的错误消息，因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 　　4.使用专业的漏洞扫描工具。但防御SQL注入攻击也是不够的。攻击者们目前正在自动搜索攻击目标并实施攻击。其技术甚至可以轻易地被应用于其它的Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具，如大名鼎鼎的Acunetix的Web漏洞扫描程序等。一个完善的漏洞扫描程序不同于网络扫描程序，它专门查找网站上的SQL注入式漏洞。最新的漏洞扫描程序可以查找最新发现的漏洞。 　　5.最后一点，企业要在Web应用程序开发过程的所有阶段实施代码的安全检查。首先，要在部署Web应用之前实施安全测试，这种措施的意义比以前更大、更深远。企业还应当在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。 　　Web安全拉警报已经响起，安全形式异常严峻，企业绝对不应当草率从事。安全重于泰山!
大家感兴趣的内容
12345678910
最近更新的内容