不当编写SQL语句导致系统不安全

原创 2002年03月14日 09:51:00
安全源于正确
不当编写SQL语句导致系统不安全
丁国勇

  在一般的多用户应用系统中,只有拥有正确的用户名和密码的用户才能进入该系统。我们通常需要编写用户登录窗口来控制用户使用该系统,这里以Visual Basic+ADO为例:


  一、漏洞的产生


  用于登录的表

  Users(name,pwd)

  建立一个窗体Frmlogin,其上有两个文本框Text1,Text2和两个命令按钮cmdok,cmdexit。两个文本框分别用于让用户输入用户名和密码,两个命令按钮用于“登录”和“退出”。

  1、定义Ado Connection对象和ADO RecordSet对象:

  Option Explicit

  Dim Adocon As ADODB.Connection

  Dim Adors As ADODB.Recordset

  2、在Form_Load中进行数据库连接:

  Set Adocon = New ADODB.Connection

  Adocon.CursorLocation = adUseClient

  adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _

  App.Path && "/test.mdb;"

  cmdok中的代码

  Dim sqlstr As String

  sqlstr = "select * from users where name='" && Text1.Text && _

  "' and pwd='" && Text2.Text && "'"

  Set adors = New ADODB.Recordset

  Set Adors=Adocon.Execute(sqlstr)

  If Adors.Recordcount>0 Then //或 If Not Adors.EOF then

  ....

  MsgBox "Pass" //通过验证

  Else

  ...

  MsgBox "Fail" //未通过验证

  End if

  运行该程序,看起来这样做没有什么问题,但是当在Text1中输入任意字符串(如123),在Text2中输入a' or 'a'='a时,我们来看sqlstr此时的值:

  select * from users where name='123' and pwd='a' or 'a'='a'

  执行这样一个SQL语句,由于or 之后的'a'='a'为真值,只要users表中有记录,则它的返回的 eof值一定为False,这样就轻易地绕过了系统对于用户和密码的验证。

  这样的问题将会出现在所有使用select * from users where name='" && name && "' and pwd='" && password &&"'的各种系统中,无论你是使用那种编程语言。


  二、漏洞的特点


  在网络上,以上问题尤其明显,笔者在许多网站中都发现能使用这种方式进入需要进行用户名和密码验证的系统。这样的一个SQL漏洞具有如下的特点:

  1、与编程语言或技术无关

  无论是使用VB、Delphi还是ASP、JSP。

  2、隐蔽性

  现有的系统中有相当一部分存在着这个漏洞,而且不易觉察。

  3、危害性

  不需要进行用户名或密码的猜测即可轻易进入系统。


  三、解决漏洞的方法


  1、控制密码中不能出现空格。

  2、对密码采用加密方式。

  这里要提及一点,加密不能采用过于简单的算法,因为过于简单的算法会让人能够构造出形如a' or 'a'='a的密文,从而进入系统。

  3、将用户验证和密码验证分开来做,先进行用户验证,如果用户存在,再进行密码验证,这样一来也能解决问题。


(发表于中国电脑教育报2002年第7期)

SQL语句因编写不当可能导致系统不安全

  • zgqtxwd
  • zgqtxwd
  • 2008年05月01日 01:44
  • 67

不当编写SQL语句导致系统不

  • zgqtxwd
  • zgqtxwd
  • 2008年04月28日 16:08
  • 98

如何编写一个高效的sql语句

一.    序言 数据库的性能问题,一直以来都是困扰各个事业部的大问题。在性能问题中SQL语句的编写又是重中之重。因此,为提高各个事业部相应产品的执行效率,提高软件的性能,实现从功能要求到性能要求的...
  • ylqiu1028
  • ylqiu1028
  • 2017年06月16日 08:38
  • 690

jdbc自写sql语句

新增语句:         查询语句:
  • fangqun663775
  • fangqun663775
  • 2014年08月14日 14:47
  • 601

常见sql语句在mybatis里面的编写

常见sql语句在mybatis里面的编写,增删改查
  • qq_1365462762
  • qq_1365462762
  • 2017年12月26日 22:50
  • 119

Access **语句的语法错误 检查语句的语法 问题总结...

这段时间在做一个汽车科目一考试系统,要求用Access数据库(还是比较郁闷的...),之前没有用过Access做数据库,只有随机应变了, 当然,也不能硬写,还是下了几本数据库连接的书来看,一边学习,...
  • byawdd
  • byawdd
  • 2012年11月11日 17:21
  • 1028

linux程序设计——执行SQL语句(第八章)

8.3    使用C语言访问MySQL数据 8.3.3 执行SQL语句 执行SQL语句的主要API函数被恰当的命名为: int mysql_query(MYSQL *connection, const...
  • yiranant
  • yiranant
  • 2015年06月24日 19:36
  • 563

【转】常用SQL语句书写技巧

转自:http://jianghaifeng.blogchina.com/3841741.html SQL结构化查询字符串的改写,是实现数据库查询性能提升的最现实、最有效的手段,有时甚至是唯一的手段...
  • BEN1978
  • BEN1978
  • 2006年05月22日 23:03
  • 1778

5、如何自己写SQL语句

使用JdbcTemplate之前我们用DemoRepository extends CrudRepository来实现对数据库数据的操作。这种方法不需要我们自己写sql语句,但是我们有时需要自己写sq...
  • weixin_40472158
  • weixin_40472158
  • 2017年11月29日 20:15
  • 151

使用with语句来写一个稍微复杂sql语句(经典,转载)

偶尔看到sql中也有with关键字,好歹也写了几年的sql语句,居然第一次接触,无知啊。看了一位博主的文章,自己添加了一些内容,做了简单的总结,这个语句还是第一次见到,学习了。我从简单到复杂地写,希望...
  • dxnn520
  • dxnn520
  • 2012年06月18日 11:09
  • 3513
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:不当编写SQL语句导致系统不安全
举报原因:
原因补充:

(最多只允许输入30个字)