漏洞影响	攻击者利用该漏洞可能导致 1.网页被篡改 2.数据被篡改 3. 核心数据被窃取 4. 数据库所在服务器被攻击变成傀儡主机

解决方法：

1.      过滤用户输入的内容，检查用户输入的内容中是否有非法内容。如，|（竖线符号）、 & （& 符号）、;（分号）、$（美元符号）、%（百分比符号）、@（at 符号）、\'（单引号）、"（引号）、\\\'（反斜杠转义单引号）、\\"（反斜杠转义引号）、<>（尖括号）、()（括号）、+（加号）、 CR（回车符，ASCII 0x0d）、 LF（换行，ASCII 0x0a）、,（逗号）、\\（反斜杠）、)（结束括号）等符号。

2.      过滤危险的SQL语句关键字，如select,from,update,insert,delete等。

3.      利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。当使用存储过程时，请利用 ADO 命令对象来实施它们，以强化变量类型。

4.      使用防注入系统。

5.      修复示例

Asp.Net

以下是保护 Web 应用程序免遭 SQL 注入攻击的两种可行方法：

5.1  使用存储过程，不用动态构建的 SQL 查询字符串。将参数传递给 SQL Server 存储过程的方式，可防止使用单引号和连字符。

以下是如何在ASP.NET 中使用存储过程的简单示例：

\' Visual Basic example

Dim DS As DataSet

Dim MyConnection AsSqlConnection

Dim MyCommand AsSqlDataAdapter

Dim SelectCommand As String= "select * from users where username = @username"

...

MyCommand.SelectCommand.Parameters.Add(NewSqlParameter("@username", SqlDbType.NVarChar, 20))

MyCommand.SelectCommand.Parameters("@username").Value =UserNameField.Value

// C# example

String selectCmd ="select * from Authors where state = @username";

SqlConnection myConnection =new SqlConnection("server=...");

SqlDataAdapter myCommand =new SqlDataAdapter(selectCmd, myConnection);

myCommand.SelectCommand.Parameters.Add(newSqlParameter("@username", SqlDbType.NVarChar, 20));

myCommand.SelectCommand.Parameters["@username"].Value= UserNameField.Value;

5.2  您可以使用验证控件，将输入验证添加到“Web 表单”页面。验证控件提供适用于所有常见类型的标准验证的易用机制，例如，测试验证日期是否有效，或验证值是否在范围内，以及进行自定义编写验证的方法。此外，验证控件还可以使您能够完整定义向用户显示错误信息的方式。验证控件可搭配“Web 表单”页面的类文件中处理的任何控件使用，其中包括 HTML 和 Web 服务器控件。为了确保用户输入仅包含有效值，您可以使用以下其中一种验证控件：

5.2.1 “RangeValidator”：检查用户条目（值）是否在指定的上下界限之间。 您可以检查配对数字、字母字符和日期内的范围。

5.2.2 “RegularExpressionValidator”：检查条目是否与正则表达式定义的模式相匹配。 此类型的验证使您能够检查可预见的字符序列，如电子邮件地址、电话号码、邮政编码等中的字符序列。最后：验证控件不会阻止用户输入或更改页面处理流程；它们只会设置错误状态，并产生错误消息。程序员的职责是，在执行进一步的应用程序特定操作前，测试代码中控件的状态。有两种方法可检查用户输入的有效性： 1. 测试常规错误状态：在您的代码中，测试页面的 IsValid 属性。该属性会将页面上所有验证控件的 IsValid 属性值汇总（使用逻辑 AND）。如果将其中一个验证控件设置为无效，那么页面属性将会返回 false。 2. 测试个别控件的错误状态：在页面的“验证器”集合中循环，该集合包含对所有验证控件的引用。然后，您就可以检查每个验证控件的 IsValid 属性。

PHP

5.3过滤用户输入

将任何数据传给 SQL 查询之前，应始终先使用筛选技术来适当过滤。 这无论如何强调都不为过。 过滤用户输入可让许多注入缺陷在到达数据库之前便得到更正。

5.4将用户输入加引号

不论任何数据类型，只要数据库允许，便用单引号括住所有用户数据。

5.5 转义数据值

如果使用 MySQL4.3.0 或更新的版本，您应该用 mysql_real_escape_string() 来转义所有字符串。 如果使用旧版的 MySQL，便应该使用mysql_escape_string() 函数。如果未使用 MySQL，您可以选择使用特定数据库的特定换码功能。如果不知道换码功能，您可以选择使用较一般的换码功能，例如，addslashes()。

如果使用 PEAR DB 数据库抽象层，您可以使用DB::quote() 方法或使用 ? 之类的查询占位符，它会自动转义替换占位符的值。参考资料http://ca3.php.net/mysql_real_escape_string

http://ca.php.net/mysql_escape_string

http://ca.php.net/addslasheshttp://pear.php.net/package-info.php?package=DB

5.6输入数据验证：虽然为方便用户而在客户端层上提供数据验证，但仍必须始终在服务器层上执行数据验证。客户端验证本身就不安全，因为这些验证可轻易绕过，例如，通过禁用 Javascript。一个好的设计通常需要 Web 应用程序框架，以提供服务器端实用程序例程，从而验证以下内容：必需字段，字段数据类型（缺省情况下，所有 HTTP 请求参数都是“字符串”），字段长度，字段范围，字段选项，字段模式， cookie 值，HTTP 响应等，以下部分描述一些检查的示例。

// PHP example to validaterequired fields

functionvalidateRequired($input) {

...

$pass = false;

if(strlen(trim($input))>0){

$pass = true;

}

return $pass;

...

}

...

if(validateRequired($fieldName)) {

// fieldName is valid,continue processing request

...

}

J2EE

** 预编译语句：

以下是保护应用程序免遭 SQL 注入（即恶意篡改 SQL 参数）的三种可行方法。使用以下方法，而非动态构建 SQL 语句：

5.7 PreparedStatement，通过预编译并且存储在PreparedStatement 对象池中。 PreparedStatement 定义 setter 方法，以注册与受支持的 JDBC SQL 数据类型兼容的输入参数。例如，setString 应该用于 VARCHAR 或 LONGVARCHAR 类型的输入参数（请参阅 Java API，以获取进一步的详细信息）。通过这种方法来设置输入参数，可防止攻击者通过注入错误字符（如单引号）来操纵 SQL 语句。

如何在 J2EE 中使用 PreparedStatement 的示例：

//J2EE PreparedStatemenet Example

//Get a connection to the database

Connection myConnection;

if(isDataSourceEnabled()) {

// using the DataSource to get a managed connection

Context ctx = new InitialContext();

myConnection =((DataSource)ctx.lookup(datasourceName)).getConnection(dbUserName, dbPassword);

}else {

try {

// using the DriverManager to get a JDBC connection

Class.forName(jdbcDriverClassPath);

myConnection = DriverManager.getConnection(jdbcURL, dbUserName,dbPassword);

} catch (ClassNotFoundException e) {

...

}

}

...

try{

PreparedStatement myStatement =myConnection.prepareStatement("select * from users where username =?");

myStatement.setString(1, userNameField);

ResultSet rs = myStatement.executeQuery();

...

rs.close();

}catch (SQLException sqlException) {

...

}finally {

myStatement.close();

myConnection.close();

}

5.8 CallableStatement，扩展PreparedStatement 以执行数据库 SQL 存储过程。该类继承 PreparedStatement 的输入 setter 方法（请参阅上面的 [1]）。

以下示例假定已创建该数据库存储过程：

CREATE PROCEDURE select_user (@usernamevarchar(20)) AS SELECT * FROM USERS WHERE USERNAME = @username;

如何在 J2EE 中使用 CallableStatement 以执行以上存储过程的示例：

//J2EE PreparedStatemenet Example

//Get a connection to the database

Connection myConnection;

if(isDataSourceEnabled()) {

// using the DataSource to get a managed connection

Context ctx = new InitialContext();

myConnection =((DataSource)ctx.lookup(datasourceName)).getConnection(dbUserName, dbPassword);

}else {

try {

// using the DriverManager to get a JDBC connection

Class.forName(jdbcDriverClassPath);

myConnection = DriverManager.getConnection(jdbcURL, dbUserName,dbPassword);

} catch (ClassNotFoundException e) {

...

}

}

...

try{

PreparedStatement myStatement = myConnection.prepareCall("{?= callselect_user ?,?}");

myStatement.setString(1, userNameField);

myStatement.registerOutParameter(1, Types.VARCHAR);

ResultSet rs = myStatement.executeQuery();

...

rs.close();

}catch (SQLException sqlException) {

...

}finally {

myStatement.close();

myConnection.close();

}

5.9实体 Bean，代表持久存储机制中的EJB 业务对象。实体 Bean 有两种类型：bean 管理和容器管理。当使用 bean 管理的持久性时，开发者负责撰写访问数据库的 SQL 代码。当使用容器管理的持久性时，EJB 容器会自动生成 SQL 代码。因此，容器要负责防止恶意尝试篡改生成的 SQL 代码。

如何在 J2EE 中使用实体 Bean 的示例：

//J2EE EJB Example

try{

// lookup the User home interface

UserHome userHome = (UserHome)context.lookup(User.class);

// find the User remote interface

User = userHome.findByPrimaryKey(new UserKey(userNameField));

...

}catch (Exception e) {

...

}

推荐使用的 JAVA 工具不适用

参考资料http://java.sun.com/j2se/1.4.1/docs/api/java/sql/PreparedStatement.htmlhttp://java.sun.com/j2se/1.4.1/docs/api/java/sql/CallableStatement.html