前一篇我們已經講了SQL注入攻擊漏洞產生的本質是由程式設計師編碼的不當造成的,下面我們就來繼續講如何才是正確的編碼,才不會受到SQL注入的攻擊在講這個問題之前讓我們來先看一段程式碼:
複製代碼代碼如下:
dim sql_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post
SQL_injdata = '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
SQL_inj = split(SQL_Injdata,|)
If Request.QueryString<> Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write <Script Language=javascript>alert('SQL防注入系統提示,請不要在嘗試注入!');history.back(-1)</Script>
Response.end
end if
next
Next
End If
If Request.Form<> Then
為 Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write <Script Language=javascript>alert('SQL防注入系統提示,請不要在嘗試注入!');history.back(-1)</Script>
Response.end
end if
next
next
end if
這是一段在網路上廣泛流行的ASP防注入的程式碼,其想法是透過對Post方法和Get方法提交的資料進行檢查,透過過濾Insert、Update、And等等這些敏感字元的辦法來防止受到SQL注入式的攻擊,從理論上來說如果我們過濾了足夠多的字符那是絕對可以保證不會受到SQL注入式攻擊的,但是請再仔細閱讀這段程式碼,注意一下它的判斷方式,它是透過instr函數來判斷的,也就是說如果我要過濾and字符,實際上被過濾的不僅僅是And這個單詞,同時把所有包含and這種字元組合方式的所有單字都給過濾掉了,像是island、mainland、hand…………,如果把這些字元都過濾了還有人會願意用嗎?所以這種過濾敏感字符的方法根本就沒有意義,讓我比較意外的是這麼一個垃圾東西居然在互聯網上被人奉為經典的貼來貼去,真是無語。
有人說SQL注入式攻擊是因為拼接SQL查詢字串造成的,所以使用預存程序不使用拼接SQL查詢字串的方式可以不受SQL注入式的攻擊,真是這樣嗎?不見得,下面再讓我們來看一個儲存過程被注入攻擊的例子。
預存程序dt_GetNews程式碼如下:
CREATE PROCEDURE dt_GetNews
@newstype int
AS
select * from news where newstype=@newstype
GO
調用的程式碼:
<%
dim adoconnection
set adoconnection=server.createobject(adodb.connection)
'…………這裡省略了建立資料庫連線的相關程式碼
adoconnection.execute exec dt_GetNews +request(newstype)
adoconnection.close
%>
如果request(newstype)的值等於1,運行的結果是返回news表中所有newstype字段為1的記錄,但是如果request(newstype)的值是1;drop table news呢,回傳的結果是news表被刪除。
從這個例子可以看出來即便是用預存程序同樣也會被攻擊,再說了select * from news where newstype=@newstype難道就不是拼接,所以說拼接SQL查詢字串和SQL注入攻擊之間沒有必然的聯繫,預存程序也不一定能防禦注入式攻擊。
那麼究竟怎麼寫才不會受到SQL注入攻擊呢,下面我就介紹一種終極方法,說白了很簡單也很原始就是資料型別驗證加單引號替換。不管是Oracle、Sql Server或mySql、Access或別的關聯式資料庫,欄位的型別大體上可以分為兩大類:數值型(如:int、float等)和字元型(如:char、varchar等),根據欄位類型的不同對應的SQL語句也略有區別,例如:
Select * from news where newstype=1裡面newstype字段必然是一個數值型的字段,
select * from news where newstype='社會新聞'裡面newstype字段必然是一個字符型的字段。
針對數值型的字段,我們必須要做的是一定要檢查參數的資料類型,例如我們用select * from news where newstype=+v_newstype這種方式構造查詢語句的時候必須檢查v_newstype變數的資料類型,v_newstype至少得是一個數,可以是整數也可以是浮點數,如果作了這樣的檢查,select * from news where newstype=+v_newstype這種方式就絕對不會構造出類似select * from news where newstype=1;drop table news這樣的語句。 ASP相對ASP.Net、JSP等更容易受到攻擊的原因,就是因為在ASP中變數可以不用申明、變數型別不明確導致的。
針對字元型的字段,我們必須要做的是一定要處理單引號('),處理的方法就是將一個單引號替換成兩個的單引號(''),例如我們用select * from news where newstype='+v_newstype+'這種方式建構查詢語句的時候必須將v_newstype裡的單引號替換成兩個單引號,因為在SQL中被兩個單引號括起來的部分錶示一個字串,而連續的兩個單引號則表示一個單引號字符,做了這樣的處理以後再來看select * from news where newstype='+v_newstype+'這種構造方式,當v_newstype的值為:
社會新聞';drop table news--
經過一個單引號到兩個單引號的替換後v_newstype的值就成了:
社會新聞'';drop table news--
建構出來的SQL語句成了:
select * from news where newstype='社會新聞'';drop table news—'
查詢的結果是傳回news表中newstype欄位的值為社會新聞';drop table news--的記錄,而並不會像之前那樣造成news表被刪除的後果。
另外,需要做處理的不只是Select語句,包括Insert、Update、Delete、Exec等等都需要處理,大家可以再看看以下這幾種注入方式:
在insert into news(title) values('+v_title+')這種構造中,
當v_title=123';drop table news--'的時候;
在update news set />當v_title=123'-- 或v_id=1;drop table news-- 的時候,所以不光是Select語句的問題,其他語句都可能會有問題,不要只盯著Select
總之,做好了資料類型的驗證和單引號字元的處理以後,就算它孫猴子有萬般能耐也飛不出我如來的掌心。