在講這個(gè)問(wèn)題之前讓我們來(lái)先看一段代碼： 

這是一段在互聯(lián)網(wǎng)上廣泛流行的ASP防注入的代碼，其思想是通過(guò)對(duì)Post方法和Get方法提交的數(shù)據(jù)進(jìn)行檢查，通過(guò)過(guò)濾Insert、Update、And等等這些敏感字符的辦法來(lái)防止受到SQL注入式的攻擊，從理論上來(lái)說(shuō)如果我們過(guò)濾了足夠多的字符那是絕對(duì)可以保證不會(huì)受到SQL注入式攻擊的，但是請(qǐng)?jiān)僮屑?xì)閱讀一下這段代碼，注意一下它的判斷方式，它是通過(guò)instr函數(shù)來(lái)判斷的，也就是說(shuō)如果我要過(guò)濾and字符，實(shí)際上被過(guò)濾的不僅僅是And這個(gè)單詞，同時(shí)把所有包含and這種字符組合方式的所有單詞都給過(guò)濾掉了，比如island、mainland、hand…………，如果把這些字符都過(guò)濾了還有人會(huì)愿意用嗎？所以這種過(guò)濾敏感字符的方法根本就沒(méi)有意義，讓我比較意外的是這么一個(gè)垃圾東西居然在互聯(lián)網(wǎng)上被人奉為經(jīng)典的貼來(lái)貼去，真是無(wú)語(yǔ)。 
有人說(shuō)SQL注入式攻擊是因?yàn)槠唇覵QL查詢字符串造成的，所以使用存儲(chǔ)過(guò)程不使用拼接SQL查詢字符串的方式可以不受SQL注入式的攻擊，真是這樣嗎？不見(jiàn)得，下面再讓我們來(lái)看一個(gè)存儲(chǔ)過(guò)程被注入攻擊的例子。 
存儲(chǔ)過(guò)程dt_GetNews代碼如下： 
CREATE PROCEDURE dt_GetNews 
@newstype int 
AS 
select * from news where newstype=@newstype 
GO 
調(diào)用的代碼： 
<% 
dim adoconnection 
set adoconnection=server.createobject("adodb.connection") 
'…………這里省略了建立數(shù)據(jù)庫(kù)連接的相關(guān)代碼 
adoconnection.execute "exec dt_GetNews "+request("newstype") 
adoconnection.close 
%> 
如果request("newstype")的值等于1，運(yùn)行的結(jié)果是返回news表中所有newstype字段為1的記錄，但是如果request("newstype")的值是"1;drop table news"呢，返回的結(jié)果是news表被刪除。 
從這個(gè)例子中可以看出來(lái)即便是用存儲(chǔ)過(guò)程同樣也會(huì)被攻擊，再說(shuō)了select * from news where newstype=@newstype難道就不是拼接，所以說(shuō)拼接SQL查詢字符串和SQL注入攻擊之間沒(méi)有必然的聯(lián)系，存儲(chǔ)過(guò)程也不一定能防御注入式攻擊。 
那么究竟怎么寫才不會(huì)受到SQL注入攻擊呢，下面我就介紹一種終極方法，說(shuō)白了很簡(jiǎn)單也很原始就是數(shù)據(jù)類型驗(yàn)證加單引號(hào)替換。不管是Oracle、Sql Server還是mySql、Access還是別的關(guān)系數(shù)據(jù)庫(kù)，字段的類型大體上可以分為兩大類：數(shù)值型(如：int、float等)和字符型(如：char、varchar等)，根據(jù)字段類型的不同對(duì)應(yīng)的SQL語(yǔ)句也略有區(qū)別，比如： 
“Select * from news where newstype=1”里面newstype字段必然是一個(gè)數(shù)值型的字段， 
”select * from news where newstype='社會(huì)新聞'”里面newstype字段必然是一個(gè)字符型的字段。 
針對(duì)數(shù)值型的字段，我們必須要做的是一定要檢查參數(shù)的數(shù)據(jù)類型，比如我們用”select * from news where newstype=”+v_newstype這種方式構(gòu)造查詢語(yǔ)句的時(shí)候必須檢查v_newstype變量的數(shù)據(jù)類型，v_newstype至少得是一個(gè)數(shù)，可以是整數(shù)也可以是浮點(diǎn)數(shù)，如果作了這樣的檢查，”select * from news where newstype=”+v_newstype這種方式就絕對(duì)不會(huì)構(gòu)造出類似”select * from news where newstype=1;drop table news”這樣的語(yǔ)句。ASP相對(duì)ASP.Net、JSP等更容易受到攻擊的原因，就是因?yàn)樵贏SP中變量可以不用申明以及變量類型不明確導(dǎo)致的。 
針對(duì)字符型的字段，我們必須要做的是一定要處理單引號(hào)(')，處理的方法就是將一個(gè)單引號(hào)替換成兩個(gè)的單引號(hào)(‘')，比如我們用”select * from news where newstype='”+v_newstype+”'”這種方式構(gòu)造查詢語(yǔ)句的時(shí)候必須將v_newstype里的單引號(hào)替換成兩個(gè)單引號(hào)，因?yàn)樵赟QL中被兩個(gè)單引號(hào)括起來(lái)的部分表示一個(gè)字符串，而連續(xù)的兩個(gè)單引號(hào)則表示一個(gè)單引號(hào)字符，做了這樣的處理以后再來(lái)看”select * from news where newstype='”+v_newstype+”'”這種構(gòu)造方式，當(dāng)v_newstype的值為： 
“社會(huì)新聞';drop table news--” 
經(jīng)過(guò)一個(gè)單引號(hào)到兩個(gè)單引號(hào)的替換后v_newstype的值就成了： 
“社會(huì)新聞'';drop table news--” 
構(gòu)造出來(lái)的SQL語(yǔ)句成了： 
”select * from news where newstype='社會(huì)新聞'';drop table news—‘” 
查詢的結(jié)果是返回news表中newstype字段的值為”社會(huì)新聞';drop table news--”的記錄，而并不會(huì)像之前那樣造成news表被刪除的后果。 
另外，需要做處理的不僅僅是Select語(yǔ)句，包括Insert、Update、Delete、Exec等等都需要處理，大家可以再看看以下這幾種注入方式： 
在"insert into news(title) values('"+v_title+"')"這種構(gòu)造中， 
當(dāng)v_title="123';drop table news--'"的時(shí)候； 
在"update news set /> 當(dāng)v_title="123'--" 或者 v_id="1;drop table news--" 的時(shí)候，所以不光是Select語(yǔ)句的問(wèn)題，其他語(yǔ)句都可能會(huì)有問(wèn)題，不要僅僅盯著Select 
總之，做好了數(shù)據(jù)類型的驗(yàn)證和單引號(hào)字符的處理以后，就算它孫猴子有萬(wàn)般能耐也飛不出我如來(lái)的掌心。