SQL 注入式攻击的终极防范

 

SQL 注入式攻击，又是注入式攻击，没想到2008年这个老掉牙的东西又出来搅风搅雨，更没想到的是这么老掉牙的东西居然还能跑出来搅风搅雨，而且造成了如此大的破坏，有文章还说注入式攻击还会有“第三波”攻击潮，到时候会更加难以察觉，连微软的大佬都跑出来澄清说与微软的技术与编码无关，微软为此还专门推出了三个检测软件，那么这个SQL注入式攻击的漏洞究竟是怎么造成的呢？

正如微软的大佬所说的，是由于网站程序的开发人员编码不当造成的，不光是ASP、ASP.NET，也包括JSP、PHP等技术，受影响的也不仅仅是Access和SQL Server数据库，也包括Oracle和MySql等其他关系数据库，和人家微软没什么关系。事实上不光是基于B/S架构的系统或网站存在这样的问题，基于C/S架构的系统也存在这样的问题，只不过由于C/S架构的特点决定了不可能像B/S系统这样影响这么广泛。那么为什么说这个问题是开发人员编码不当造成的呢，下面我们就来具体分析。

­

首先让我们来看一下以下这四条SQL查询语句

语句1：select * from news where newstype=1

语句2：select * from news where newstype=1;drop table news

语句3：select * from news where newstype='社会新闻'

语句4：select * from news where newstype='社会新闻';drop table news--'

大家都知道语句1的作用是查询news表中newstype字段值等于1的所有记录，其中newstype字段的类型是一种数值型，比如Int、SmaillInt、TinyInt、Float等等；语句2实际上是两条语句，第一条的作用和语句1的作用相同，第二条的作用是删除数据库中的news表。语句3和语句4的功能和语句1、语句2的基本相同，所不同的是语句3、4里的newstype字段是字符型的，比如:char、varchar、nvarchar、text等等

­

不管是在ASP还是ASP.NET还是JSP或PHP，一般我们都会采用“select * from news where newstype=”+v_newstype的方法来构造语句1，或者“select * from news where newstype='”+v_newstype+"'"来构造语句3，其中v_newstype是一个变量，如果v_newstype的值等于1，构造出来的就是语句1了，如果v_newstype的值等于"社会新闻"，构造出来的就是语句3了，但是很不幸的是如果我们忽略了对v_newstype的检查，通过这个方法构造出来的也可能是语句2或者语句4，比如v_newstype的值为“1;drop table news”或“社会新闻';drop table news--”，如果我们的疏忽让别人给利用了，就会给我们造成巨大的损失，SQL注入式攻击正是利用了我们的这个疏忽，所以说SQL注入式攻击的根源来自开发人员的编码不当和你所使用的平台、开发工具以及系统架构等等都没有任何直接的关系。

­

既然SQL注入式攻击是由于编码人员编码不当造成的，那究竟怎么样的编码才是恰当的编码才不会受到SQL注入攻击呢.

下面我们就来继续讲如何才是正确的编码，才不会受到SQL注入的攻击，在讲这个问题之前让我们来先看一段代码：

dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"  

SQL_inj = split(SQL_Injdata,"|")  If Request.QueryString<>"" Then  

For Each SQL_Get In Request.QueryString  For SQL_Data=0 To Ubound(SQL_inj)  

if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then  Response.Write "<Script Language=javascript>alert('SQL防注入系统提示,请不要在尝试注入！');history.back(-1)</Script>"  

Response.end  end if  

next  Next  

End If  If Request.Form<>"" Then  

For Each Sql_Post In Request.Form  For SQL_Data=0 To Ubound(SQL_inj)  

if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then  Response.Write "<Script Language=javascript>alert('SQL防注入系统提示,请不要在尝试注入！');history.back(-1)</Script>"  

Response.end  end if  

next  next  

end if  

这是一段在互联网上广泛流行的ASP防注入的代码，其思想是通过对Post方法和Get方法提交的数据进行检查，通过过滤Insert、Update、And等等这些敏感字符的办法来防止受到SQL注入式的攻击，从理论上来说如果我们过滤了足够多的字符那是绝对可以保证不会受到SQL注入式攻击的，但是请再仔细阅读一下这段代码，注意一下它的判断方式，它是通过instr函数来判断的，也就是说如果我要过滤and字符，实际上被过滤的不仅仅是And这个单词，同时把所有包含and这种字符组合方式的所有单词都给过滤掉了，比如island、mainland、hand…………，如果把这些字符都过滤了还有人会愿意用吗？所以这种过滤敏感字符的方法根本就没有意义，让我比较意外的是这么一个垃圾东西居然在互联网上被人奉为经典的贴来贴去，真是无语。

­

有人说SQL注入式攻击是因为拼接SQL查询字符串造成的，所以使用存储过程不使用拼接SQL查询字符串的方式可以不受SQL注入式的攻击，真是这样吗？不见得，下面再让我们来看一个存储过程被注入攻击的例子。

­

存储过程dt_GetNews代码如下：

CREATE PROCEDURE dt_GetNews  @newstype int

AS select * from news where newstype=@newstype

GO

调用的代码：

<% dim adoconnection

set adoconnection=server.createobject("adodb.connection") '…………这里省略了建立数据库连接的相关代码

adoconnection.execute "exec dt_GetNews "+request("newstype")

adoconnection.close %>

如果request("newstype")的值等于1，运行的结果是返回news表中所有newstype字段为1的记录，但是如果request("newstype")的值是"1;drop table news"呢，返回的结果是news表被删除。

­

从这个例子中可以看出来即便是用存储过程同样也会被攻击，再说了select * from news where newstype=@newstype难道就不是拼接，所以说拼接SQL查询字符串和SQL注入攻击之间没有必然的联系，存储过程也不一定能防御注入式攻击。

­

那么究竟怎么写才不会受到SQL注入攻击呢，下面我就介绍一种终极方法，说白了很简单也很原始就是数据类型验证加单引号替换。不管是Oracle、Sql Server还是mySql、Access还是别的关系数据库，字段的类型大体上可以分为两大类：数值型(如：int、float等)和字符型(如：char、varchar等)，根据字段类型的不同对应的SQL语句也略有区别，比如：

“Select * from news where newstype=1”里面newstype字段必然是一个数值型的字段，

”select * from news where newstype=’社会新闻’”里面newstype字段必然是一个字符型的字段。

­

针对数值型的字段，我们必须要做的是一定要检查参数的数据类型，比如我们用”select * from news where newstype=”+v_newstype这种方式构造查询语句的时候必须检查v_newstype变量的数据类型，v_newstype至少得是一个数，可以是整数也可以是浮点数，如果作了这样的检查，”select * from news where newstype=”+v_newstype这种方式就绝对不会构造出类似”select * from news where newstype=1;drop table news”这样的语句。ASP相对ASP.Net、JSP等更容易受到攻击的原因，就是因为在ASP中变量可以不用申明以及变量类型不明确导致的。

­

针对字符型的字段，我们必须要做的是一定要处理单引号(’)，处理的方法就是将一个单引号替换成两个的单引号(‘’)，比如我们用”select * from news where newstype=’”+v_newstype+”’”这种方式构造查询语句的时候必须将v_newstype里的单引号替换成两个单引号，因为在SQL中被两个单引号括起来的部分表示一个字符串，而连续的两个单引号则表示一个单引号字符，做了这样的处理以后再来看”select * from news where newstype=’”+v_newstype+”’”这种构造方式，当v_newstype的值为：

“社会新闻’;drop table news--”

经过一个单引号到两个单引号的替换后v_newstype的值就成了：

“社会新闻’’;drop table news--”

构造出来的SQL语句成了：

”select * from news where newstype=’社会新闻’’;drop table news—‘”

查询的结果是返回news表中newstype字段的值为”社会新闻’;drop table news--”的记录，而并不会像之前那样造成news表被删除的后果。

­

另外，需要做处理的不仅仅是Select语句，包括Insert、Update、Delete、Exec等等都需要处理，大家可以再看看以下这几种注入方式：

在"insert into news(title) values('"+v_title+"')"这种构造中，

当v_title="123';drop table news--'"的时候；

在"update news set title='"+v_title+"' where 123'--" 或者 v_id="1;drop table news--"   的时候，所以不光是Select语句的问题，其他语句都可能会有问题，不要仅仅盯着Select

­

总之，做好了数据类型的验证和单引号字符的处理以后，就算它孙猴子有万般能耐也飞不出我如来的掌心。

防SQL注入的终极方法，也就是最原始、最简单、最有效也是最通用的方法，就是数据类型的检查加单引号的处理

下面我们将要介绍另一种在ASP里防SQL注入攻击的方法，该方法不仅仅在ASP里适用，实际上可以在任何使用ADO对象模型与数据库交互的语言中，准确的说称之为基于ADO对象模型的防SQL注入的方法或许更恰当些。好了废话不说了，来看看代码

Dim conn,cmd,pra set conn=server.createobject("adodb.connection")

conn.Open "…………"   '这里省略数据库连接字

set cmd=server.createobject("adodb.Command") set pra=server.createobject("adodb.Parameter")

cmd.ActiveConnection = conn

cmd.CommandText = "update news set title=? where id =?" cmd.CommandType = adCmdText

Set pra = cmd.CreateParameter("title", adVarWChar, adParamInput, 50, "1'2'3")

cmd.Parameters.Append pra      

Set pra = cmd.CreateParameter("id", adInteger, adParamInput, , 10) cmd.Parameters.Append pra

         cmd.Execute

news表的id字段是Integer型的,title字段是nvarchar(50)型的，执行的结果是把news表中id字段为10的记录的title字段的内容改成“1'2'3”