ASP。NET 中SQL防注入攻击
一、什么是SQL注入式攻击
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:
⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。
⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:
System.Text.StringBuilder query = new System.Text.StringBuilder("SELECT * from Users WHERE login = '").Append(txtLogin.Text).Append("' AND password='").Append(txtPassword.Text).Append("'");
⑶ 攻击者在用户名字和密码输入框中输入"'或'1'='1"之类的内容。
⑷ 用户输入的内容提交给服务器之后,服务器运行上面的ASP.NET代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:
SELECT * from Users WHERE login = '' or '1'='1' ANDpassword = '' or '1'='1'
⑸ 服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比。
⑹ 由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。
系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。
二、如何防范
好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:
第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。
第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。
第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。
在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。
你可以使用许多内建的验证对象,例如RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个HashPasswordForStoringInConfigFile,非常适合于对输入数据进行消毒处理。
⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。
以上资料参考与 赛迪网资料。 但是我觉得在我们的ASP.NET程序里防止SQL 注入
1。首先应该尽量使用存储过程。关于使用存储过程的好处在这里就不展开讨论了
2。使用参数传递变量。
3。最不妥当的方法就是认为判断SQL注入信息。
尽管如此,可能日常开发中由于种种原因不能做的面面具道。 存在各种各种的实际问题。 现在是最近在一个项目中没有考虑SQL注入项目补救写的一个组件库。资料也参考来源与网络,实现很简单。下面是具体实现的源程序:
防注入攻击代码1
using System;2
using System.Text.RegularExpressions;3
using System.Web;4
5
namespace FSqlKeyWord6
{7
/**//**//**//// <summary>8
/// SqlKey 的摘要说明。9
/// </summary>10
public class SqlKey11
{12
private HttpRequest request;13
private const string StrKeyWord = @"select|insert|delete|from|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec master|netlocalgroup administrators|:|net user|""|or|and";14
private const string StrRegex = @"[-|;|,|/|(|)|[|]|}|{|%|@|*|!|']";15
public SqlKey(System.Web.HttpRequest _request)16
{17
//18
// TODO: 在此处添加构造函数逻辑19
//20
this.request = _request;21
}22
23
/**//**//**//// <summary>24
/// 只读属性 SQL关键字25
/// </summary>26
public static string KeyWord27
{28
get29
{30
return StrKeyWord;31
}32
}33
/**//**//**//// <summary>34
/// 只读属性过滤特殊字符35
/// </summary>36
public static string RegexString37
{38
get39
{40
return StrRegex;41
}42
}43
/**//**//**//// <summary>44
/// 检查URL参数中是否带有SQL注入可能关键字。45
/// </summary>46
/// <param name="_request">当前HttpRequest对象</param>47
/// <returns>存在SQL注入关键字true存在,false不存在</returns>48
public bool CheckRequestQuery()49
{50
if (request.QueryString.Count != 0)51
{52
//若URL中参数存在,逐个比较参数。53
for (int i = 0; i < request.QueryString.Count; i++)54
{55
// 检查参数值是否合法。56
if (CheckKeyWord(request.QueryString[i].ToString()))57
{58
return true;59
}60
}61
}62
return false;63
}64
65
/**//**//**//// <summary>66
/// 检查提交表单中是否存在SQL注入可能关键字67
/// </summary>68
/// <param name="_request">当前HttpRequest对象</param>69
/// <returns>存在SQL注入关键字true存在,false不存在</returns>70
public bool CheckRequestForm()71
{72
if (request.Form.Count > 0)73
{74
//获取提交的表单项不为0 逐个比较参数75
for (int i = 0; i < request.Form.Count; i++)76
{77
//检查参数值是否合法78
if (CheckKeyWord(request.Form[i]))79
{80
//存在SQL关键字81
return true;82
83
}84
}85
}86
return false;87
}88
89
/**//**//**//// <summary>90
/// 静态方法,检查_sword是否包涵SQL关键字91
/// </summary>92
/// <param name="_sWord">被检查的字符串</param>93
/// <returns>存在SQL关键字返回true,不存在返回false</returns>94
public static bool CheckKeyWord(string _sWord)95
{96
if (Regex.IsMatch(_sWord, StrKeyWord, RegexOptions.IgnoreCase) || Regex.IsMatch(_sWord, StrRegex))97
return true;98
return false;99
}100
101
/**//**//**//// <summary>102
/// 反SQL注入:返回1无注入信息,否则返回错误处理103
/// </summary>104
/// <returns>返回1无注入信息,否则返回错误处理</returns>105
public string CheckMessage()106
{107
string msg = "1";108
if (CheckRequestQuery()) //CheckRequestQuery() || CheckRequestForm()109
{110
msg = "<span style='font-size:24px;'>非法操作!<br>";111
msg += "操作IP:" + request.ServerVariables["REMOTE_ADDR"] + "<br>";112
msg += "操作时间:" + DateTime.Now + "<br>";113
msg += "页面:" + request.ServerVariables["URL"].ToLower() + "<br>";114
msg += "<a href="#" οnclick="history.back()">返回上一页</a></span>";115
}116
return msg.ToString();117
}118
}119
}120
转载于:https://www.cnblogs.com/kwhei/archive/2008/08/31/1280658.html
ASP。NET 中SQL防注入攻击相关推荐
- 方立勋_30天掌握JavaWeb_JDBC、SQL防注入(一)
JDBC简介 数据库驱动 SUN公司为了简化.统一对数据库的操作,定义了一套Java操作数据库的规范,称之为JDBC. JDBC全称为:Java Data Base Connectivity(java ...
- SQL防注入程序 v1.0
/// ***************C#版SQL防注入程序 v1.0************ /// *使用方法: /// 一.整站防注入(推荐) /// 在Global.asax.cs中查找App ...
- PHP SQL防注入
参考资料: PHP中防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事项 php SQL 防注入的一些经验 如何在PHP中防止SQL注入? P ...
- 屏蔽php显示错误信息+sql防注入常用函数
屏蔽php显示错误信息 那是因为php.ini中关闭了错误显示,将错误写成了文件,这是人为设置的结果 display_errors =on就好了. 当PHP启动的时候,它将在Web服务器标准头信息中添 ...
- sql防注入解决办法
sql防注入步骤: 1. 什么是SQL注入?我理解的sql注入就是一些人可以通过恶意的参数输入,让后台执行这段SQL,然后达到获取数据或者破坏数据库的目的!举个简单的查询例子,后台sql是拼接的:se ...
- Python之SQL 防注入问题,绕过登录验证进入数据库,可能会导致大问题。
SQL 防注入问题 所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗 服务器执行恶意的SQL命令. 例子 user="root&quo ...
- 若依框架(SpringBoot)增加SQL防注入处理,SpringBoot增加SQL防注入
文章目录 若依框架增加SQL防注入处理,SpringBoot项目可用 增加Filter 若依框架增加SQL防注入处理,SpringBoot项目可用 思路:增加Filter对请求中的请求参数进行过滤进行 ...
- PHP之SQL防注入代码,PHP防XSS 防SQL注入的代码
360提示XSS漏洞?这个XSS漏洞很不好修复.....如果是PHP程序的话,可以用下面的代码来过滤... PHP防XSS 防SQL注入的代码 class protection{public stat ...
- spring mysql防注入攻击_【spring】(填坑)sql注入攻击 - 持久层参数化
结果 填坑失败,并没有看懂是如何检测sql攻击的. 只能说的是:建议都使用参数化传递sql语句参数.(所以,用hibernate.mybatis等框架的真不用太担心sql攻击问题.) 前言 在上文中的 ...
最新文章
- wiretiger引擎支持行、列存储、LSM,mongodb用的哪个?
- 第二十三讲 解一阶微分方程组
- 并发编程(四):也谈谈数据库的锁机制
- ajax怎么在html与php中使用,如何使用ajax和php将数据从数据库表放到html表
- .NET Framework 4.8预览
- CTF基本赛制与题型
- easyui控件事件监听委托给jquery事件监听,keyup取最新值问题
- python中的sklearn.svm.svr_支持向量机SVM--sklearn 参数说明
- c 与mysql连接_c与mysql的连接
- iOS开发之原生二维码扫描rectOfInterest扫描区域
- 《了不起的Markdown》之第1章 人人都应学会Markdown
- Improved Zero-shot Neural Machine Translation via Ignoring Spurious Correlations
- 无需重装系统,Windows Server 2019系统硬盘无损从MBR转换为GPT格式
- Prior-based Domain Adaptive Object Detection for Hazy and Rainy Conditions
- 【心理学】心理学效应
- app的崩溃率标准,优秀,合格,轻微隐患,严重隐患
- 如何使用 Axios 中的请求拦截器 和响应拦截器
- 【Scratch-外观模块】漩涡特效指令
- UVa 12563 Jin Ge Jin Qu hao(01背包)
- 最新在线换钱系统带后台版爱K支付提供