防止sql注入攻击

转至http://hi.baidu.com/ncheng/blog/item/bc65f82a1a6a7c335343c11c.html

Sql注入是一种入门极低破坏极大的攻击方式。如果sql是用字符串拼接出来的话，那么肯定会被注入攻击，前段时间还传出了某国外大型社交网站被SQL注入攻击。

Sql注入攻击的方式，来这里看的同志们应该很清楚了，就是在拼接字符串的时候，如果输入的是带单引号的，那么输入laf' or 1='1' --这样就会逃避条件检查，后面要是再跟一些shutdown，delete之类的条件，那么损失基本算是毁灭性的了。前几天单位开发的过程中我发现几乎大家都不重视安全，一个写代码的人不注意安全只注意实现那么写出来的代码在攻击者眼前基本就是一个没有穿衣服的美女。

下面是我一个开发人员的一些经验，主要用来防止sql注入。

1、首先对运行sql的用户赋予最小权限，这个理论也是安全领域的最小特权理论，运行一个程序一定要用最小特权运行，所以不要给用户服务DBA的权限，限制要权限之后可以防止一些毁灭性的攻击，即使攻入了也不会shutdown修改表之类的。

2、一定不要使用字符串拼接的方式构造sql，必须使用参数化sql，存储过程可以看作是参数sql，简单的就直接构造参数化sql，复杂的就写存储过程，不过存储过程中一定不要用字符串，我看有人在存储过程用字符串，这样还是不能避免被攻击，并且在调试的时候非常麻烦。

3、严把输入关，系统肯定是用来交互的，所有用户输入的这一关一定要把好，可以利用各种方式来检验用户的输入，让输入都是合法的；可以设敏感字符不让用户输入，这个虽然不是很友好，不过对与安全有保证。在验证的是可以用正则表达式或者程序验证，不管用什么方式只要把敏感字符和可疑字符拒之门外那么就无法攻击了，不过限制输入还是有缺陷，在安全理论方面，只能确定合法，不能确定不合法，比如你在界面限制了合法的，那么剩余的都是不合法的，这时候输入的肯定全部是合法的，如果你限制的是非法的，可是你能确保你限制的全是非法的？如果某一天发现一个非法的不再你限制之内那么你就会被攻击。

4、做好自己的检验和测试工作，自己可以进行sql注入攻击，利用工具检验。

5、一定要养成具有安全意识的程序员，时刻想着安全。

这几条之中最重要的是1和2，权限限制一定要注意，不然会死的很惨的，第二就是程序员的习惯了，一定要用参数化sql和数据库交互。

时间太晚了，明天还要上班呢，就到这里吧，下一篇我就通过实例来说说程序员最关心的参数化sql语句。

 

 

上一篇写的sql注入的基本原理，本来要接着写这篇的，但是由于时间的原因一直没有写成，今天是五一假期，总算是能抽空写写了。

作为一个程序员，防范sql注入的第一线是由我们来守护的，只要我们在程序中留少许的漏洞，就会给程序增强安全特性。所以我们要做的是要写安全的程序，防止sql注入在程序体现在不要拼接sql字符串，一定要参数化sql或者写存储过程，这里就说说简单的参数化sql吧。

例子中用c#和oracle实现，java中或者其他数据库中的实现也是类似的。

using System.Data.OracleClient;//引入oracle操作包

//定义DML语句

string strSQL = @"select user.name from user where user.name = :userName";

//上句中的：userName就是sql语句中参数的占位符，也就是说在数据库服务器中执行这条sql语句的时候这个占位符要被其他东西替换掉，到底用什么东西替换呢，接着往下看

OracleParameter[] param = {

new OracleParameter(":userName",txtName);

}//这里定义一个参数的数组，里面可以写入多个sql参数，咱们的这里只有一个，所以就写入一个参数，这里讲占位符和他的替换也就是参数值对应起来了，txtName就是占位符的替换值，他是用户界面中用户输入的值，就是他可能含有注入攻击的字符，这下数据库服务器知道用什么东西替换占位符了。

定义好sql语句和参数后就是执行了，执行的时候需要同时将sql语句和参数传入，这样用户输入的带有非法字符的字符串在数据库会当作参数处理，而不会当作sql语句和数据库自己的字符混乱，防止了注入攻击。

    OracleCommand cmd = new OracleCommand();

     cmd.CommandText = strSQL;//定义oracle命令的文本内容

      for(oracleParameter p in param)//将参数传入

{

cmd.Parameters.Add(p);

}

     cmd.ExecuteNonQuery();//执行命令

上面基本上是一个完整的参数化sql，不同的数据库服务器sql语句中参数的占位符不同，上面用的是oracle，参数占位符是冒号（：）加名字，在sqlserver中是用@符号加名字作为占位符，而在mysql中用问号（？）加名字来作为参数占位符，不同的数据库中参数的表示符号不一样，这个需要注意。