如何有效防范SQL注入-來自微軟
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
SQL 注入是一種攻擊方式,在這種攻擊方式中,惡意代碼被插入到字符串中,然后將該字符串傳遞到 SQL Server 的實例以進行分析和執(zhí)行。任何構(gòu)成 SQL 語句的過程都應(yīng)進行注入漏洞檢查,因為 SQL Server 將執(zhí)行其接收到的所有語法有效的查詢。一個有經(jīng)驗的、堅定的攻擊者甚至可以操作參數(shù)化數(shù)據(jù)。 SQL 注入的主要形式包括直接將代碼插入到與 SQL 命令串聯(lián)在一起并使其得以執(zhí)行的用戶輸入變量。一種間接的攻擊會將惡意代碼注入要在表中存儲或作為元數(shù)據(jù)存儲的字符串。在存儲的字符串隨后串連到一個動態(tài) SQL 命令中時,將執(zhí)行該惡意代碼。 注入過程的工作方式是提前終止文本字符串,然后追加一個新的命令。由于插入的命令可能在執(zhí)行前追加其他字符串,因此攻擊者將用注釋標(biāo)記“--”來終止注入的字符串。執(zhí)行時,此后的文本將被忽略。 以下腳本顯示了一個簡單的 SQL 注入。此腳本通過串聯(lián)硬編碼字符串和用戶輸入的字符串而生成一個 SQL 查詢: var Shipcity; 用戶將被提示輸入一個市縣名稱。如果用戶輸入 Redmond,則查詢將由與下面內(nèi)容相似的腳本組成: SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond' 但是,假定用戶輸入以下內(nèi)容: Redmond'; drop table OrdersTable-- 此時,腳本將組成以下查詢: SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--' 分號 (;) 表示一個查詢的結(jié)束和另一個查詢的開始。雙連字符 (--) 指示當(dāng)前行余下的部分是一個注釋,應(yīng)該忽略。如果修改后的代碼語法正確,則服務(wù)器將執(zhí)行該代碼。SQL Server 處理該語句時,SQL Server 將首先選擇 OrdersTable 中的所有記錄(其中 ShipCity 為 Redmond)。然后,SQL Server 將刪除 OrdersTable。 只要注入的 SQL 代碼語法正確,便無法采用編程方式來檢測篡改。因此,必須驗證所有用戶輸入,并仔細(xì)檢查在您所用的服務(wù)器中執(zhí)行構(gòu)造 SQL 命令的代碼。本主題中的以下各部分說明了編寫代碼的最佳做法。  驗證所有輸入 始終通過測試類型、長度、格式和范圍來驗證用戶輸入。實現(xiàn)對惡意輸入的預(yù)防時,請注意應(yīng)用程序的體系結(jié)構(gòu)和部署方案。請記住,為在安全環(huán)境下運行而設(shè)計的程序可能被復(fù)制到不安全的環(huán)境中。以下建議應(yīng)被視為最佳做法:
如果可能,拒絕包含以下字符的輸入。
使用類型安全的 SQL 參數(shù)SQL Server 中的 Parameters 集合提供了類型檢查和長度驗證。如果使用 Parameters 集合,則輸入將被視為文字值而不是可執(zhí)行代碼。使用 Parameters 集合的另一個好處是可以強制執(zhí)行類型和長度檢查。范圍以外的值將觸發(fā)異常。以下代碼段顯示了如何使用 Parameters 集合: SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin", conn);在此示例中,@au_id 參數(shù)被視為文字值而不是可執(zhí)行代碼。將對此值進行類型和長度檢查。如果 @au_id 值不符合指定的類型和長度約束,則將引發(fā)異常。 在存儲過程中使用參數(shù)化輸入存儲過程如果使用未篩選的輸入,則可能容易受 SQL 注入攻擊。例如,以下代碼容易受到攻擊: SqlDataAdapter myCommand = 如果使用存儲過程,則應(yīng)使用參數(shù)作為存儲過程的輸入。 在動態(tài) SQL 中使用參數(shù)集合如果不能使用存儲過程,您仍可使用參數(shù),如以下代碼示例所示: SqlDataAdapter myCommand = new SqlDataAdapter( 篩選輸入篩選輸入可以刪除轉(zhuǎn)義符,這也可能有助于防止 SQL 注入。但由于可引起問題的字符數(shù)量很大,因此這并不是一種可靠的防護方法。以下示例可搜索字符串分隔符。 LIKE 子句請注意,如果要使用 LIKE 子句,還必須對通配符字符進行轉(zhuǎn)義: 在代碼中檢查 SQL 注入 應(yīng)檢查所有調(diào)用 EXECUTE、EXEC 或 sp_executesql 的代碼。可以使用類似如下的查詢來幫助您標(biāo)識包含這些語句的過程。 SELECT object_Name(id) FROM syscomments WHERE UPPER(text) LIKE '%EXECUTE (%' OR UPPER(text) LIKE '%EXECUTE (%' OR UPPER(text) LIKE '%EXECUTE (%' OR UPPER(text) LIKE '%EXECUTE (%' OR UPPER(text) LIKE '%EXEC (%' OR UPPER(text) LIKE '%EXEC (%' OR UPPER(text) LIKE '%EXEC (%' OR UPPER(text) LIKE '%EXEC (%' OR UPPER(text) LIKE '%SP_EXECUTESQL%' 使用 QUOTENAME() 和 REPLACE() 包裝參數(shù)在選擇的每個存儲過程中,驗證是否對動態(tài) Transact-SQL 中使用的所有變量都進行了正確處理。來自存儲過程的輸入?yún)?shù)的數(shù)據(jù)或從表中讀取的數(shù)據(jù)應(yīng)包裝在 QUOTENAME() 或 REPLACE() 中。請記住,傳遞給 QUOTENAME() 的 @variable 值的數(shù)據(jù)類型為 sysname,且最大長度為 128 個字符。
使用此方法時,可對 SET 語句進行如下修改: --Before: SET @temp = N'select * from authors where au_lname=''' + @au_lname + N'''' --After: SET @temp = N'select * from authors where au_lname=''' + REPLACE(@au_lname,'''','''''') + N'''' 由數(shù)據(jù)截斷啟用的注入如果分配給變量的任何動態(tài) Transact-SQL 比為該變量分配的緩沖區(qū)大,那么它將被截斷。如果攻擊者能夠通過將意外長度的字符串傳遞給存儲過程來強制執(zhí)行語句截斷,則該攻擊者可以操作該結(jié)果。例如,以下腳本創(chuàng)建的存儲過程容易受到由截斷啟用的注入攻擊。 CREATE PROCEDURE sp_MySetPassword @loginname sysname, @old sysname, @new sysname AS -- Declare variable. -- Note that the buffer here is only 200 characters long. DECLARE @command varchar(200) -- Construct the dynamic Transact-SQL. -- In the following statement, we need a total of 154 characters -- to set the password of 'sa'. -- 26 for UPDATE statement, 16 for WHERE clause, 4 for 'sa', and 2 for -- quotation marks surrounded by QUOTENAME(@loginname): -- 200 – 26 – 16 – 4 – 2 = 154. -- But because @new is declared as a sysname, this variable can only hold -- 128 characters. -- We can overcome this by passing some single quotation marks in @new. SET @command= 'update Users set password=' + QUOTENAME(@new, '''') + ' where username=' + QUOTENAME(@loginname, '''') + ' AND password = ' + QUOTENAME(@old, '''')
-- Execute the command. EXEC (@command) GO 通過向 128 個字符的緩沖區(qū)傳遞 154 個字符,攻擊者便可以在不知道舊密碼的情況下為 sa 設(shè)置新密碼。 EXEC sp_MySetPassword 'sa', 'dummy', '123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012''''''''''''''''''''''''''''''''''''''''''''''''''' 因此,應(yīng)對命令變量使用較大的緩沖區(qū),或直接在 EXECUTE 語句內(nèi)執(zhí)行動態(tài) Transact-SQL。 使用 QUOTENAME(@variable, '''') 和 REPLACE() 時的截斷如果 QUOTENAME() 和 REPLACE() 返回的字符串超過了分配的空間,該字符串將被自動截斷。以下示例中創(chuàng)建的存儲過程顯示了可能出現(xiàn)的情況。 CREATE PROCEDURE sp_MySetPassword @loginname sysname, @old sysname, @new sysname AS
-- Declare variables. DECLARE @login sysname DECLARE @newpassword sysname DECLARE @oldpassword sysname DECLARE @command varchar(2000)
-- In the following statements, the data stored in temp variables -- will be truncated because the buffer size of @login, @oldpassword, -- and @newpassword is only 128 characters, but QUOTENAME() can return -- up to 258 characters.
SET @login = QUOTENAME(@loginname, '''') SET @oldpassword = QUOTENAME(@old, '''') SET @newpassword = QUOTENAME(@new, '''')
-- Construct the dynamic Transact-SQL. -- If @new contains 128 characters, then @newpassword will be '123... n -- where n is the 127th character. -- Because the string returned by QUOTENAME() will be truncated, -- it can be made to look like the following statement: -- UPDATE Users SET password ='1234. . .[127] WHERE username=' -- other stuff here SET @command = 'UPDATE Users set password = ' + @newpassword + ' where username =' + @login + ' AND password = ' + @oldpassword;
-- Execute the command. EXEC (@command) GO 因此,以下語句將把所有用戶的密碼都設(shè)置為在前面的代碼中傳遞的值。 EXEC sp_MyProc '--', 'dummy', '12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678' 使用 REPLACE() 時,可以通過超出分配的緩沖區(qū)空間來強迫字符串截斷。以下示例中創(chuàng)建的存儲過程顯示了可能出現(xiàn)的情況。 CREATE PROCEDURE sp_MySetPassword @loginname sysname, @old sysname, @new sysname AS -- Declare variables. DECLARE @login sysname DECLARE @newpassword sysname DECLARE @oldpassword sysname DECLARE @command varchar(2000) -- In the following statements, data will be truncated because -- the buffers allocated for @login, @oldpassword and @newpassword -- can hold only 128 characters, but QUOTENAME() can return -- up to 258 characters.
SET @login = REPLACE(@loginname, '''', '''''') SET @oldpassword = REPLACE(@old, '''', '''''') SET @newpassword = REPLACE(@new, '''', '''''')
-- Construct the dynamic Transact-SQL. -- If @new contains 128 characters, @newpassword will be '123...n -- where n is the 127th character. -- Because the string returned by QUOTENAME() will be truncated, it -- can be made to look like the following statement: -- UPDATE Users SET password='1234…[127] WHERE username=' -- other stuff here
SET @command= 'update Users set password = ''' + @newpassword + ''' where username=''' + @login + ''' AND password = ''' + @oldpassword + '''';
-- Execute the command. EXEC (@command) GO 與 QUOTENAME() 一樣,可以通過聲明對所有情況都足夠大的臨時變量來避免由 REPLACE() 引起的字符串截斷。應(yīng)盡可能直接在動態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME() 或 REPLACE()。或者,也可以按如下方式計算所需的緩沖區(qū)大小。對于 @outbuffer = QUOTENAME(@input),@outbuffer 的大小應(yīng)為 2*(len(@input)+1). 。使用 REPLACE() 和雙引號時(如上一示例),大小為 2*len(@input) 的緩沖區(qū)便已足夠。 以下計算涵蓋所有情況: While len(@find_string) > 0, required buffer size = round(len(@input)/len(@find_string),0) * len(@new_string) + (len(@input) % len(@find_string)) 使用 QUOTENAME(@variable, ']') 時的截斷當(dāng) SQL Server 安全對象的名稱被傳遞給使用 QUOTENAME(@variable, ']') 形式的語句時,可能發(fā)生截斷。以下代碼顯示了這一可能性。 CREATE PROCEDURE sp_MyProc @schemaname sysname, @tablename sysname, AS
-- Declare a variable as sysname. The variable will be 128 characters. -- But @objectname actually must accommodate 2*258+1 characters. DECLARE @objectname sysname SET @objectname = QUOTENAME(@schemaname)+'.'+ QUOTENAME(@tablename)
-- Do some operations. GO 當(dāng)您串聯(lián) sysname 類型的值時,應(yīng)使用足夠大的臨時變量來保存每個值的最多 128 個字符。應(yīng)盡可能直接在動態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME()。或者,也可以按上一部分所述來計算所需的緩沖區(qū)大小。 該文章在 2011/1/31 1:07:43 編輯過
|
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
||||||||||||||||||||||||||||||||||
400 186 1886
復(fù)制代碼