如此高效通用的分頁存儲過程是帶有sql注入漏洞的zt

2024-07-10 13:25:45

字體：大中小

來源：轉載

供稿：網友

在google中搜索“分頁存儲過程”會出來好多結果，是大家常用的分頁存儲過程，今天我卻要說它是有漏洞的，而且漏洞無法通過修改存儲過程進行補救，如果你覺得我錯了，請讀下去也許你會改變看法。
通常大家都會認為存儲過程可以避免sql注入的漏洞，這適用于一般的存儲過程，而對于通用分頁存儲過程是不適合的，請看下面的代碼和分析！
一般的通用的分頁存儲過程代碼如下：

復制代碼代碼如下:

CREATE PROCEDURE pagination
@tblName varchar(255), -- 表名
@strGetFields varchar(1000) = '*', -- 需要返回的列
@fldName varchar(255)='', -- 排序的字段名
@PageSize int = 10, -- 頁尺寸
@PageIndex int = 1, -- 頁碼
@doCount bit = 0, -- 返回記錄總數, 非 0 值則返回
@OrderType bit = 0, -- 設置排序類型, 非 0 值則降序
@strWhere varchar(1500) = '' -- 查詢條件 (注意: 不要加 where)
AS
declare @strSQL varchar(5000) -- 主語句
declare @strTmp varchar(110) -- 臨時變量
declare @strOrder varchar(400) -- 排序類型
if @doCount != 0
begin
if @strWhere !=''
set @strSQL = 'select count(*) as Total from [' + @tblName + '] where '+@strWhere
else
set @strSQL = 'select count(*) as Total from [' + @tblName + ']'
end
--以上代碼的意思是如果@doCount傳遞過來的不是0，就執行總數統計。以下的所有代碼都是@doCount為0的情況
else
begin
if @OrderType != 0
begin
set @strTmp = '<(select min'
set @strOrder = ' order by [' + @fldName +'] desc'
--如果@OrderType不是0，就執行降序，這句很重要！
end
else
begin
set @strTmp = '>(select max'
set @strOrder = ' order by [' + @fldName +'] asc'
end
if @PageIndex = 1
begin
if @strWhere != ''
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from [' + @tblName + '] where ' + @strWhere + ' ' + @strOrder
else
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['+ @tblName + '] '+ @strOrder
--如果是第一頁就執行以上代碼，這樣會加快執行速度
end
else
begin
--以下代碼賦予了@strSQL以真正執行的SQL代碼
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['
+ @tblName + '] where [' + @fldName + ']' + @strTmp + '(['+ @fldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' ['+ @fldName + '] from [' + @tblName + ']' + @strOrder + ') as tblTmp)'+ @strOrder
if @strWhere != ''
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['
+ @tblName + '] where [' + @fldName + ']' + @strTmp + '(['
+ @fldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' ['
+ @fldName + '] from [' + @tblName + '] where ' + @strWhere + ' '
+ @strOrder + ') as tblTmp) and ' + @strWhere + ' ' + @strOrder
end
end
exec (@strSQL)
GO

大家可以看到上面的存儲過程中是通過一些步驟最終拼接成一個sql字符串，然后通過exec執行這個串得到分頁的結果。

我們假定要做一個這樣的查詢，通過用戶名UserName模糊查詢用戶，為了敘述方便，便于理解我們只考慮取第一頁的情況，取出存儲過程中取第一頁的拼串行如下：
set @strSQL = 'SELECT TOP ' + str(@PageSize) + ' ' + @strGetFields + ' from [' + @tblName + '] where ' + @strWhere + ' ' + @strOrder

為了便于說明問題，我們可以假定@pageSize為20，@strGetFields為 ‘*'，@tblName為UserAccount,@strOrder為' ORDER BY ID DESC' 那么上面一行可以寫成如下形式：
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'

我們可以假定用戶輸入的模糊用戶名是: Jim's dog
我們用SqlParameter傳遞參數給分頁存儲過程@strWhere 的值是：'UserName LIKE ‘'%Jim'' dog%'''(注意LIKE后邊的字符串中的單引號已經全部變成兩個單引號了)，我們將這個值代入上面的@strSQL賦值語句中,如下：

set @strSQL = 'SELECT TOP 20 * from [UserAccount] where UserName LIKE ''%Jim'' dog%'' ORDER BY ID DESC'

讓我們寫上聲明變量的部分執行在查詢分析器中測試一下，代碼如下：

復制代碼代碼如下:

DECLARE @strSQL varchar(8000)
DECLARE @strWhere varchar(1000)
SET @strWhere = 'UserName LIKE ''%Jim'' dog%'''
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'
print @strSQL
exec (@strSQL)

大家可以把上面幾行代碼粘貼到查詢分析器中執行一下，就可以看到下面的畫面：

如此高效通用的分頁存儲過程是帶有sql注入漏洞的zt

在消息的第一行，打印出了要執行的sql語句,很顯然此語句的 LIKE ‘%Jim' 后面的部分全部被截斷了，也就是說如果用戶輸入的不是Jim's dog而是Jim' delete from UserAccount那么會正確的執行刪除操作，傳說中的sql注入就會出現了。

問題出現了，我們應該怎么解決問題？

1．很顯然我們使用SqlParameter傳遞參數已經將單引號替換成了連個單引號了，可是因為我們在數據庫中拼串導致替換并不能解決問題。

2．根據我的實驗證明如果使用存儲過程不可能解決這個問題，我們只有將這個存儲過程要執行的拼串操作放到數據訪問層去做，才可以避免這個問題。

如果大家有在存儲過程中解決這個問題的辦法，請不吝賜教。

備注：本文說的是MS SQL Server2000 的數據庫，而非使用SQL 2005的新特性分頁。

上一篇：asp.net獲取當前網址url的各種屬性(文件名、參數、域名等)的代碼

下一篇：ASP.NET實現word文檔在線預覽功能代碼