1. 程式人生 > >【ASP.NET】——SQL注入

【ASP.NET】——SQL注入

    關於SQL注入,師父給驗收專案的時候就提過。但一直也沒深入去想是怎麼回事~~在學ASP.NET,做新聞釋出系統的時候,又遇到了,這次不能放過了~~

定義

    所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意)的SQL命令注入到後臺資料庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。[1] 比如先前的很多影視網站洩露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊.——百度百科

實驗

    系統中增加新聞類別SQL語句:

insert intocategoryinfo(name)values ('" + caName + "')

    當我們在介面輸入:娛樂八卦,點選增加新聞類別時


    娛樂八卦將替換" + caName + "而執行。

    於是,當我們在文字框中輸入:

    娛樂新聞')delete categoryinfo where id=13--

    這段替換了" + caName + "會形成:

      insert into categoryinfo(name)values ('娛樂新聞')delete categoryinfo where id=4--')";

    相當於:

    insert into categoryinfo(name)values ('娛樂新聞');

    delete categoryinfo where id=4--')";

    於是執行後前後對比效果為:

前:                            後:

    

    這就是SQL注入的一種效果。通過這種方法,將我們的資料庫進行了破壞。通過SQL注入,是黑客得到資料庫內部資訊的一種方法,為了咱們系統的安全性,我們需要做好防護。

如何避免:

    對於上面的這種SQL注入,有效的方法就是:用傳參進行SQL語句,不用拼接字串。 傳字串語句:
 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters .Add(new SqlParameter ("@caName","SQL注入成功"));

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

改為傳參:
 public int test()        {
            int res;
            using (cmd = new SqlCommand("insert into categoryinfo(name)values (@caName)",GetConn()))
            {
                cmd.Parameters.Add(new SqlParameter("@caName", "'娛樂新聞')delete categoryinfo where id=4--"));//SQL注入失敗

                res = cmd.ExecuteNonQuery();
            }
            return res;
        }

    這只是一種避免方法。     那平時我們需要做哪些防護呢:     1.限制使用者非正確格式輸入。     2.對特殊字元進行轉換。即“’”在SQL語句執行時,已不再是“‘”,可能是一個數字,這樣就不會再對SQL語句造成混亂。     3.報錯時,儘可能減少資訊量。最好將錯誤資訊進行包裝。因為專業人可以根據報的黃頁分析出庫裡有哪些表等資訊......     4.將重要資訊進行加密。以免輕易洩露。     5.不用拼接字串...     ......     這是我所能想到的一些特別基礎的預防方法~肯定還有更高階的手段。這還需要我們繼續探索!