1. 程式人生 > >SQL注入原理講解

SQL注入原理講解

日前,國內最大的程式設計師社群CSDN網站的使用者資料庫被黑客公開發布,600萬用戶的登入名及密碼被公開洩露,隨後又有多家網站的使用者密碼被流傳於網路,連日來引發眾多網民對自己賬號、密碼等網際網路資訊被盜取的普遍擔憂。

網路安全成為了現在網際網路的焦點,這也恰恰觸動了每一位使用者的神經,由於設計的漏洞導致了不可收拾的惡果,驗證了一句話“出來混的,遲早是要還的”,所以我想通過專題博文介紹一些常用的攻擊技術和防範策略。

SQL Injection也許很多人都知道或者使用過,如果沒有了解或完全沒有聽過也沒有關係,因為接下來我們將介紹SQL Injection。

1.1.2 正文

SQL Injection:就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。

具體來說,它是利用現有應用程式,將(惡意)的SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。

首先讓我們瞭解什麼時候可能發生SQL Injection。

假設我們在瀏覽器中輸入URL www.sample.com,由於它只是對頁面的簡單請求無需對資料庫動進行動態請求,所以它不存在SQL Injection,當我們輸入www.sample.com?testid=23時,我們在URL中傳遞變數testid,並且提供值為23,由於它是對資料庫進行動態查詢的請求(其中?testid=23表示資料庫查詢變數),所以我們可以該URL中嵌入惡意SQL語句。

現在我們知道SQL Injection適用場合,接下來我們將通過具體的例子來說明SQL Injection的應用,這裡我們以pubs資料庫作為例子。

我們通過Web頁面查詢job表中的招聘資訊,job表的設計如下:

sqlinjection5

圖1 jobs表

接著讓我們實現Web程式,它根據工作Id(job_id)來查詢相應的招聘資訊,示意程式碼如下:

/// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.
</param> /// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param> protected void Page_Load(object sender, EventArgs e) { if (!IsPostBack) { // Gets departmentId from http request. string queryString = Request.QueryString["departmentID"]; if (!string.IsNullOrEmpty(queryString)) { // Gets data from database. gdvData.DataSource = GetData(queryString.Trim()); // Binds data to gridview. gdvData.DataBind(); } } }

現在我們已經完成了Web程式,接下來讓我們查詢相應招聘資訊吧。

sqlinjection6

圖2 job表查詢結果

如圖所示,我們要查詢資料庫中工作Id值為1的工作資訊,而且在頁面顯示了該工作的Id,Description,Min Lvl和Max Lvl等資訊。

現在要求我們實現根據工作Id查詢相應工作資訊的功能,想必大家很快可以給出解決方案,SQL示意程式碼如下:

SELECT     job_id, job_desc, min_lvl, max_lvl
FROM         jobs
WHERE     (job_id = 1)

假設現在要求我們獲取Department表中的所有資料,而且必須保留WHERE語句,那我們只要確保WHERE恆真就OK了,SQL示意程式碼如下:

SELECT     job_id, job_desc, min_lvl, max_lvl
FROM         jobs
WHERE     (job_id = 1) OR 1 = 1

上面我們使得WHERE恆真,所以該查詢中WHERE已經不起作用了,其查詢結果等同於以下SQL語句。

SELECT     job_id, job_desc, min_lvl, max_lvl
FROM         jobs

SQL查詢程式碼實現如下:

string sql1 = string.Format(
    "SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'", jobId);

現在我們要通過頁面請求的方式,讓資料庫執行我們的SQL語句,我們要在URL中嵌入惡意表示式1=1(或2=2等等),如下URL所示:

等效SQL語句如下:

SELECT     job_id, job_desc, min_lvl, max_lvl
FROM         jobs
WHERE     job_id = '1' OR '1' = 1'

sqlinjection7

圖3 job表查詢結果

現在我們把job表中的所有資料都查詢出來了,僅僅通過一個簡單的恆真表示式就可以進行了一次簡單的攻擊。

雖然我們把job表的資料都查詢出來了,但資料並沒有太大的價值,由於我們把該表臨時命名為job表,所以接著我們要找出該表真正表名。

首先我們假設表名就是job,然後輸入以下URL:

等效SQL語句如下:

SELECT       job_id, job_desc, min_lvl, max_lvl 
FROM         jobs 
WHERE      job_id='1'or 1=(select count(*) from job) --'

sqlinjection8

圖4 job表查詢結果

當我們輸入了以上URL後,結果伺服器返回我們錯誤資訊,這證明了我們的假設是錯誤的,那我們該感覺到挫敗嗎?不,其實這裡返回了很多資訊,首先它證明了該表名不是job,而且它還告訴我們後臺資料庫是SQL Server,不是MySQL或Oracle,這也設計一個漏洞把錯誤資訊直接返回給了使用者。

接下假定表名是jobs,然後輸入以下URL:

等效SQL語句如下:

SELECT       job_id, job_desc, min_lvl, max_lvl 
FROM         jobs 
WHERE      job_id='1'or 1=(select count(*) from jobs) --'

sqlinjection

圖5 job表查詢結果

現在證明了該表名是jobs,這可以邁向成功的一大步,由於我們知道了表名就可以對該表進行增刪改操作了,而且我們還可以猜測出更多的表對它們作出修改,一旦修改成功那麼這將是一場災難。

現在大家已經對SQL Injection的攻擊有了初步的瞭解了,接下讓我們學習如何防止SQL Injection。

總的來說有以下幾點:

1.永遠不要信任使用者的輸入,要對使用者的輸入進行校驗,可以通過正則表示式,或限制長度,對單引號和雙"-"進行轉換等。

2.永遠不要使用動態拼裝SQL,可以使用引數化的SQL或者直接使用儲存過程進行資料查詢存取。

3.永遠不要使用管理員許可權的資料庫連線,為每個應用使用單獨的許可權有限的資料庫連線。

4.不要把機密資訊明文存放,請加密或者hash掉密碼和敏感的資訊。

5.應用的異常資訊應該給出儘可能少的提示,最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝,把異常資訊存放在獨立的表中。

通過正則表達校驗使用者輸入

首先我們可以通過正則表示式校驗使用者輸入資料中是包含:對單引號和雙"-"進行轉換等字元。

然後繼續校驗輸入資料中是否包含SQL語句的保留字,如:WHERE,EXEC,DROP等。

現在讓我們編寫正則表示式來校驗使用者的輸入吧,正則表示式定義如下:

private static readonly Regex RegSystemThreats =
        new Regex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" +
            @"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?",
            RegexOptions.Compiled | RegexOptions.IgnoreCase);

上面我們定義了一個正則表示式物件RegSystemThreats,並且給它傳遞了校驗使用者輸入的正則表示式。

由於我們已經完成了對使用者輸入校驗的正則表示式了,接下來就是通過該正則表示式來校驗使用者輸入是否合法了,由於.NET已經幫我們實現了判斷字串是否匹配正則表示式的方法——IsMatch(),所以我們這裡只需給傳遞要匹配的字串就OK了。

示意程式碼如下:

/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.  
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <returns>true if found, false if not found </returns>
public static bool DetectSqlInjection(string whereClause)
{
    return RegSystemThreats.IsMatch(whereClause);
}

/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.  
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <param name="orderBy">string of the orderBy clause to check</param>
/// <returns>true if found, false if not found </returns>
public static bool DetectSqlInjection(string whereClause, string orderBy)
{
    return RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy);
}

現在我們完成了校驗用的正則表示式,接下來讓我們需要在頁面中新增校驗功能。

/// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.</param>
/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>
protected void Page_Load(object sender, EventArgs e)
{
    if (!IsPostBack)
    {
        // Gets departmentId from http request.
        string queryString = Request.QueryString["jobId"];
        if (!string.IsNullOrEmpty(queryString))
        {
            if (!DetectSqlInjection(queryString) && !DetectSqlInjection(queryString, queryString))
            {
                // Gets data from database.
                gdvData.DataSource = GetData(queryString.Trim());

                // Binds data to gridview.
                gdvData.DataBind();
            }
            else
            {
                throw new Exception("Please enter correct field");
            }
        }
    }
}

當我們再次執行以下URL時,被嵌入的惡意語句被校驗出來了,從而在一定程度上防止了SQL Injection。

sqlinjection9

圖6 新增校驗查詢結果

但使用正則表示式只能防範一些常見或已知SQL Injection方式,而且每當發現有新的攻擊方式時,都要對正則表示式進行修改,這可是吃力不討好的工作。

通過引數化儲存過程進行資料查詢存取

首先我們定義一個儲存過程根據jobId來查詢jobs表中的資料。

-- =============================================
-- Author:        JKhuang
-- Create date: 12/31/2011
-- Description:    Get data from jobs table by specified jobId.
-- =============================================
ALTER PROCEDURE [dbo].[GetJobs]
    -- ensure that the id type is int
    @jobId INT
AS
BEGIN
--    SET NOCOUNT ON;
    SELECT job_id, job_desc, min_lvl, max_lvl
    FROM dbo.jobs
    WHERE job_id = @jobId
    GRANT EXECUTE ON GetJobs TO pubs 
END

接著修改我們的Web程式使用引數化的儲存過程進行資料查詢。

using (var com = new SqlCommand("GetJobs", con))
{
    // Uses store procedure.
    com.CommandType = CommandType.StoredProcedure;

    // Pass jobId to store procedure.
    com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;
    com.Connection.Open();
    gdvData.DataSource = com.ExecuteScalar();
    gdvData.DataBind(); 
}

現在我們通過引數化儲存過程進行資料庫查詢,這裡我們把之前新增的正則表示式校驗註釋掉。

sqlinjection10

圖7 儲存過程查詢結果

大家看到當我們試圖在URL中嵌入惡意的SQL語句時,引數化儲存過程已經幫我們校驗出傳遞給資料庫的變數不是整形,而且使用儲存過程的好處是我們還可以很方便地控制使用者許可權,我們可以給使用者分配只讀或可讀寫許可權。

但我們想想真的有必要每個資料庫操作都定義成儲存過程嗎?而且那麼多的儲存過程也不利於日常的維護。

引數化SQL語句

還是回到之前動態拼接SQL基礎上,我們知道一旦有惡意SQL程式碼傳遞過來,而且被拼接到SQL語句中就會被資料庫執行,那麼我們是否可以在拼接之前進行判斷呢?——命名SQL引數。

string sql1 = string.Format("SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = @jobId");
using (var con = new SqlConnection(ConfigurationManager.ConnectionStrings["SQLCONN1"].ToString()))
using (var com = new SqlCommand(sql1, con))
{
    // Pass jobId to sql statement.
    com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;
    com.Connection.Open();
    gdvData.DataSource = com.ExecuteReader();
    gdvData.DataBind(); 
}

sqlinjection10

圖8 引數化SQL查詢結果

這樣我們就可以避免每個資料庫操作(尤其一些簡單資料庫操作)都編寫儲存過程了,而且當用戶具有資料庫中jobs表的讀許可權才可以執行該SQL語句。

新增新架構

資料庫架構是一個獨立於資料庫使用者的非重複名稱空間,您可以將架構視為物件的容器(類似於.NET中的名稱空間)。

首先我們右擊架構資料夾,然後新建架構。

clip_image002

sqlinjection12

圖9 新增HumanResource架構

上面我們完成了在pubs資料庫中新增HumanResource架構,接著把jobs表放到HumanResource架構中。

sqlinjection15

sqlinjection13

圖 10 修改jobs表所屬的架構

當我們再次執行以下SQL語句時,SQL Server提示jobs無效,這是究竟什麼原因呢?之前還執行的好好的。

SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs

sqlinjection14

圖 11 查詢輸出

當我們輸入完整的表名“架構名.物件名”(HumanResource.jobs)時,SQL語句執行成功。

SELECT job_id, job_desc, min_lvl, max_lvl FROM HumanResource.jobs

sqlinjection16

為什麼之前我們執行SQL語句時不用輸入完整表名dbo.jobs也可以執行呢?

這是因為預設的架構(default schema)是dbo,當只輸入表名時,Sql Server會自動加上當前登入使用者的預設的架構(default schema)——dbo。

由於我們使用自定義架構,這也降低了資料庫表名被猜測出來的可能性。

LINQ to SQL

前面使用了儲存過程和引數化查詢,這兩種方法都是非常常用的,而針對於.NET Framework的ORM框架也有很多,如:NHibernate,Castle和Entity Framework,這裡我們使用比較簡單LINQ to SQL。

sqlinjection17

圖 12 新增jobs.dbml檔案

var dc = new pubsDataContext();
int result;

// Validates jobId is int or not.
if (int.TryParse(jobId, out result))
{
    gdvData.DataSource = dc.jobs.Where(p => p.job_id == result);
    gdvData.DataBind();
}

相比儲存過程和引數化查詢,LINQ to SQL我們只需新增jobs.dbml,然後使用LINQ對錶進行查詢就OK了。

1.1.3 總結

我們在本文中介紹了SQL Injection的基本原理,通過介紹什麼是SQL Injection,怎樣進行SQL Injection和如何防範SQL Injection。通過一些程式原始碼對SQL的攻擊進行了細緻的分析,使我們對SQL Injection機理有了一個深入的認識,作為一名Web應用開發人員,一定不要盲目相信使用者的輸入,而要對使用者輸入的資料進行嚴格的校驗處理,否則的話,SQL Injection將會不期而至。

最後,祝大家新年快樂,身體健康,Code with pleasure。 

相關推薦

SQL注入原理講解

日前,國內最大的程式設計師社群CSDN網站的使用者資料庫被黑客公開發布,600萬用戶的登入名及密碼被公開洩露,隨後又有多家網站的使用者密碼被流傳於網路,連日來引發眾多網民對自己賬號、密碼等網際網路資訊被盜取的普遍擔憂。 網路安全成為了現在網際網路的焦點,這也恰恰觸動了每一位

SQL注入原理講解,很不錯!

1.1.1 摘要日前,國內最大的程式設計師社群CSDN網站的使用者資料庫被黑客公開發布,600萬用戶的登入名及密碼被公開洩露,隨後又有多家網站的使用者密碼被流傳於網路,連日來引發眾多網民對自己賬號、密碼等網際網路資訊被盜取的普遍擔憂。網路安全成為了現在網際網路的焦點,這也恰恰

Mybatis防止sql注入原理

     SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR

Java程式設計師從笨鳥到菜鳥之(一百)sql注入攻擊詳解(一)sql注入原理詳解

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

sql注入原理及預防措施

SQL注入就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。對於很多網站都有使用者提交表單的埠,提交的資料插入MySQL資料庫中,就有可能發生SQL注入安全問題,那麼,如何防止SQL注入呢? 針對SQL注入安全問題的預防,需時刻認定使

回頭探索JDBC及PreparedStatement防SQL注入原理

概述 JDBC在我們學習J2EE的時候已經接觸到了,但是僅是照搬步驟書寫,其中的PreparedStatement防sql注入原理也是一知半解,然後就想回頭查資料及敲測試程式碼探索一下。再有就是我們在專案中有一些配置項是有時候要變動的,比如資料庫的資料來源,為了在修改配置時不改動編譯的程式碼,我們把要變動的

SQL注入原理--手工聯合查詢注入技術

                     **實驗目的:理解聯合查詢原理、學習聯合查詢過程**實驗原理: 1、連結後面新增【order by 11(數字任意)】根據頁面返回結果,來判斷站點中的欄位數目2、在連結後面新增語句【union select 1,2,3,4,5,6,7,8,9,10,11 from a

SQL注入原理及防範

    前段時間部門遇到SQL注入攻擊,在此,我也分享一下自己的經驗和理解。     首先一個很重要的論點:SQL注入是可以完全杜絕的 SQL注入原因     通俗點講,SQL注入的根本原因是: "使用者輸入資料"意外變成了程式碼被執行。     "使用者輸入資料"我

[web安全] SQL注入原理與分類

一、SQL注入原理 SQL注入漏洞的形成原因:使用者輸入的資料被SQL直譯器執行利用SQL注入繞過登入驗證 在登入的過程中使用者輸入“使用者名稱”和“密碼”。 在程式中執行如下的SQL語句:select count(*) from admin where username=

sql注入原理【java】

String sql=”select * from judy88 where ” + “pname=’” + username + “’ and password=’” + password + “’”; 如果是加號必須用”“號 進行括起來。 解決注入問

SQL注入原理,值得一看

隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查

SQL注入原理-萬能密碼注入

一、學習目的 1、理解【萬能密碼】原理 2、學習【萬能密碼】的使用 二、實驗環境: 本機:192.168.1.2 目標機:192.168.1.3 三、舉例說明 **2、輸入使用者名稱:admin 萬能密碼:2’or’1 如圖:**

SQL注入原理-手工注入access資料庫

一、Target: SQL注入原理、學習手工注入過程 二、實驗原理:通過把SQL命令插入到web表單提交或輸入域名或頁面請求的的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令 1、在結尾的連結中依次新增【’】和【and 1=1】和【and 1=2】判斷網

SQL注入原理以及如何避免注入

SQL注入:到底什麼時候會用到SQL呢?回答是訪問資料庫的時候,也就是說SQL注入-->直接威脅到了資料來源,呵呵,資料庫都收到了威脅,網站還能正常現實麼? 所謂SQL注入,就是通過把SQL命令

sql注入原理詳解(一)

一、什麼是sql注入呢?         所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到S

簡單的SQL注入原理

小白學了一點簡單的SQL注入,做了點筆記,感覺挺詳細,希望能幫助到學習的夥伴。大佬勿噴,有不足多多的指教。 實驗原理 SQL注入攻擊是通過將惡意的SQL查詢或新增語句插入到應用的輸入引數中,再在後臺SQL伺服器上解析執行進行的攻擊,它目前是黑客對資料庫進行攻擊的最常用的手

以mysql為例介紹PreparedStatement防止sql注入原理

最近,在寫程式時開始注意到sql注入的問題,由於以前寫程式碼時不是很注意,有一些sql會存在被注入的風險,那麼防止sql注入的原理是什麼呢?我們首先通過PrepareStatement這個類來學習一下吧! 作為一個IT業內人士只要接觸過資料庫的人都應該知道sq

【Hibernate實戰】原始碼解析Hibernate引數繫結及PreparedStatement防SQL注入原理

    本文采用mysql驅動是5.1.38版本。    本篇文章涉及內容比較多,單就Hibernate來講就很大,再加上資料庫驅動和資料庫相關,非一篇文章或一篇專題就能說得完。本文從使用入手在【Spring實戰】----Spring4.3.2整合Hibernate5.2

寬位元組SQL注入原理

0x01: 經典的SQL注入利用的是沒有任何防範措施的PHP使用SQL查詢語句時可以通過URL輸入造成該語句恆成立,從而可以獲得資料庫中的其他資訊。 舉個例子: <?php $name=$_GET['name'];

PreparedStatement防止sql注入原理

PreparedStatement類是java的一個類,準確說是jdbc規範中的一個介面,各個資料庫產商的實現不同(即實現類不同),今天我們就以mysql資料庫來說,我已經下載了mysql資料庫的驅動jar包和驅動程式的原始碼. sql注入的時候,比如,有些使用者就會在介面