asp.net中的SQL注入攻擊與防護
什么是SQL注入攻擊����?
它是在執行SQL查詢的時候,由于接收了用戶的非法參數從而導致����,所執行的SQL語義與業務邏輯原本所要查詢的語義不相符��,從而實現的攻擊��。
例如我們經常使用的用戶登錄�����,通常會出現這樣的表單:
用戶名:________________
密碼:________________
登錄
正常情況下����,我們需要讓用戶填寫他們自己的用戶名和密碼之后����,程序會接收用戶輸入的參數 執行查詢操作,然后根據查詢結果�����,判斷用戶是否能夠登錄����。
但是,如果程序員在編寫SQL查詢操作時候����,沒有注意SQL注入問題的話��,那么用戶可以通過這個表單很輕易的實現一些非正常的訪問����,下面我們據具體的例子來說明�����。
我們先來布局一個簡單的表單:
其中這個表單中包含了用戶名 密碼的輸入文本框�����,為了大家便于觀看��,密碼我沒有使用passWord��,明文顯示�����。其中防止注入的復選框是為了我寫第二段 防止注入的登錄邏輯時�����,可以用一個按鈕來表示��,而用了單選框是否被選中來進行區別��。
我們先來看第一段登錄代碼:
1 //聲明連接 2 PRivate static OleDbConnection ConnAcc; 3 protected void Page_Load(object sender, EventArgs e) 4 { 5 6 } 7 8 /// <summary> 9 /// 按鈕點擊事件10 /// </summary>11 /// <param name="sender"></param>12 /// <param name="e"></param>13 protected void Button1_Click(object sender, EventArgs e)14 {15 string name = tbx_name.Text;16 string pwd = tbx_pwd.Text;17 18 UserLogin(name, pwd);19 }20 21 22 23 /// <summary>24 /// 第一種登錄驗證操作25 /// </summary>26 /// <param name="_loginname"></param>27 /// <param name="_loginpwd"></param>28 private void UserLogin(string _loginname,string _loginpwd)29 {30 DataSet ds = new DataSet(); //聲明數據集31 string sql = "select * from Users Where rg_LoginName='" + _loginname + "' and rg_LoginPwd='" + _loginpwd + "'"; //創建查詢語句32 try33 {34 35 Open(); //打開連接36 OleDbCommand comm = new OleDbCommand(sql, ConnAcc); //創建查詢37 new OleDbDataAdapter(comm).Fill(ds, 0, 1, "Users"); //填充數據集38 }39 catch (OleDbException exception)40 {41 ds = null;42 Label1.Text = exception.Message; //異常處理43 return;44 }45 finally46 {47 Free();48 }49 if (ds != null && ds.Tables[0].Rows.Count > 0) //如果數據集中有記錄 代表輸入的用戶名密碼組合正確50 {51 Label1.Text = "用戶[" + tbx_name.Text + "]登錄成功��!"; //顯示52 53 //int uid = int.Parse(ds.Tables[0].Rows[0]["rg_ID"].ToString());54 //保存UID等用戶信息到session或者cookies中55 //由于本案例重點是登錄身份驗證通過環節�����,因此此處邏輯可以不繼續寫56 }57 else58 {59 Label1.Text = "用戶名或密碼錯誤";60 }61 }62 63 64 65 66 /// <summary>67 /// 打開數據庫連接68 /// </summary>69 private static void Open()70 {71 ConnAcc = new OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + HttpContext.Current.Server.MapPath("~/App_Data/db.mdb") + ";");72 if (ConnAcc.State == ConnectionState.Closed)73 {74 ConnAcc.Open();75 }76 }77 78 79 /// <summary>80 /// 關閉連接81 /// </summary>82 private static void Free()83 {84 if (ConnAcc != null)85 {86 ConnAcc.Close();87 ConnAcc.Dispose();88 ConnAcc = null;89 }90 }我在數據庫中添加了一條記錄 用戶名為admin�����,密碼為123456
然后我們來看一下登錄的實際效果:
OK��!登錄成功����!看起來一切都很圓滿,但是事實上是這樣嗎����?聰明的你一定會想到,如果就此結束了����,那本文就毫無意義了�����,而且這種登錄我剛上學的時候就會了�����。
沒錯��,這只是看上去功能實現了而已����,但事實上����,這種登錄的判斷邏輯存在著很大的SQL注入風險,下面我就以此段代碼為例����,演示一個簡單的SQL注入的經典例子。
剛才我們登錄的時候是輸入的用戶名密碼����,密碼如果與用戶名不匹配就無法登錄成功�����,那么當我不知道密碼的情況下,試試下面的這個組合:
看到這里你貌似瞬間懂了����,然后驚出一身冷汗,然后背后隱隱發涼����,為什么不輸入密碼也能登錄成功?那么我在程度代碼這段加上一個斷點調試一下相比你就明白了�����。
在填充數據集之前����,加入斷點,讓程序運行時暫停在這個位置��。
由于我輸入的用戶名為:admin��,密碼并沒有輸入正確的123456,而是輸入的 ' or '1'='1 這意味這什么呢�����?請看下面的變量跟蹤信息:
這是SQL語句變成了select * from Users Where rg_LoginName='admin' and rg_LoginPwd='' or '1'='1'
我們查詢原本的意思是:select * from Users Where rg_LoginName=用戶名 and rg_LoginPwd=密碼
而現在的意思就變成了 select * from Users Where rg_LoginName='admin' and rg_LoginPwd=空 or '1'='1'
簡單的說就是相當于用戶通過輸入的密碼中帶有SQL語義的值��,變相修改了我們的查詢語句��,在本例中�����,無論用戶是否知道密碼����,他只要在密碼中輸入' or '1'='1',就一定能夠登錄成功����,因為有了 or '1'='1'的恒成立,所以前面的判斷語句統統失效����。這就是非常典型的SQL注入攻擊,通過此種方法����,可以進入后臺����,篡改數據等操作�����。
除此以外����,包括頁面間傳參��,搜索的時候都有可能被多種形式的注入����,這是一個相當危險的安全隱患,使你得所有用戶身份驗證形同虛設����。
那么如何避免SQL語句的注入呢?
一個最簡單快捷的方法就是過濾單引號����,我們來修改登錄的代碼
1 /// <summary> 2 /// 第一種登錄驗證操作 3 /// </summary> 4 /// <param name="_loginname"></param> 5 /// <param name="_loginpwd"></param> 6 private void UserLogin(string _loginname,string _loginpwd) 7 { 8 _loginname = _loginname.Replace("'", ""); //過濾用戶輸入參數中的單引號 9 _loginpwd = _loginpwd.Replace("'", ""); //過濾用戶輸入參數中的單引號10 11 DataSet ds = new DataSet(); //聲明數據集12 string sql = "select * from Users Where rg_LoginName='" + _loginname + "' and rg_LoginPwd='" + _loginpwd + "'"; //創建查詢語句13 try14 {15 16 Open(); //打開連接17 OleDbCommand comm = new OleDbCommand(sql, ConnAcc); //創建查詢18 new OleDbDataAdapter(comm).Fill(ds, 0, 1, "Users"); //填充數據集19 }20 catch (OleDbException exception)21 {22 ds = null;23 Label1.Text = exception.Message; //異常處理24 return;25 }26 finally27 {28 Free();29 }30 if (ds != null && ds.Tables[0].Rows.Count > 0) //如果數據集中有記錄 代表輸入的用戶名密碼組合正確31 {32 Label1.Text = "用戶[" + tbx_name.Text + "]登錄成功�����!"; //顯示33 34 //int uid = int.Parse(ds.Tables[0].Rows[0]["rg_ID"].ToString());35 //保存UID等用戶信息到Session或者cookies中36 //由于本案例重點是登錄身份驗證通過環節��,因此此處邏輯可以不繼續寫37 }38 else39 {40 Label1.Text = "用戶名或密碼錯誤";41 }42 }通過把用戶輸入的單引號進行過濾��,那么他在輸入中所帶的SQL語義的值 就不成立了��,
我們繼續使用剛才的組合:admin����,' or '1'='1 來斷點查看下變量:
這個時候我們可以發現��,rg_LoginPwd=' or 1=1' 在把用戶輸入的單引號過濾掉之后 用戶輸入的密碼就是 or 1=1(被單引號括起來����,被當作字符串處理)不具有任何的SQL語義了,當然這個密碼是不正確的����,因此就不會出現SQL注入的問題了
然而利用過濾單引號的方式,只能在一定程度上避免SQL注入的攻擊��,卻并不能100%的保證安全����,最安全的做法就是使用微軟提供的參數數組的形式進行提交命令�����。下面我們再來寫一個登錄的方法��。
1 /// <summary> 2 /// 第二種登錄驗證操作(參數數組形式) 3 /// </summary> 4 /// <param name="_loginname"></param> 5 /// <param name="_loginpwd"></param> 6 private void UserLoginSafeMode(string _loginname, string _loginpwd) 7 { 8 DataSet ds = new DataSet(); 9 string sql = "select * from Users Where rg_LoginName=@rg_LoginName and rg_LoginPwd=@rg_LoginPwd"; //創建查詢語句10 11 //創建參數數組12 OleDbParameter[] parameters ={13 new OleDbParameter("@rg_LoginName",OleDbType.VarChar),14 new OleDbParameter("@rg_LoginPwd",OleDbType.VarChar)15 };16 17 //參數數組賦值18 parameters[0].Value = _loginname;19 parameters[1].Value = _loginpwd;20 21 try22 {23 Open();24 OleDbCommand comm = new OleDbCommand(sql, ConnAcc);25 if (parameters != null)26 {27 //向comm中插入參數28 foreach (OleDbParameter p in parameters)29 {30 comm.Parameters.Add(p);31 }32 }33 new OleDbDataAdapter(comm).Fill(ds, 0, 1, "Users");34 }35 catch (OleDbException exception)36 {37 ds = null;38 Label1.Text = exception.Message; //異常處理39 return;40 }41 finally42 {43 Free();44 }45 if (ds != null && ds.Tables[0].Rows.Count > 0) //如果數據集中有記錄 代表輸入的用戶名密碼組合正確46 {47 Label1.Text = "用戶[" + tbx_name.Text + "]登錄成功��!"; //顯示48 49 //int uid = int.Parse(ds.Tables[0].Rows[0]["rg_ID"].ToString());50
