代码安全 - SQL注入

2010-10-14 雨

 

   今天在淘宝买的书也到了..趁中午的时候翻了翻..也看了下网络攻击..还很肤浅..咱的路还很长啊..

 

嗯...看到了SQL注入..SQL注入就是指用户输入没做充分的验证.导致用户可以输入非法字符来构造一个SQL语句 对数据库进行操作.

 

例如: ① http://www.mytest.com/showdetail.asp?id=49 ② http://www.mytest.com/showdetail.asp?id=49 ;and 1=1 ③ http://www.mytest.com/showdetail.asp?id=49 ;and 1=2 这就是经典的1=1、1=2测试法了，怎么判断呢？看看上面三个网址返回的结果就知道了： 可以注入的表现： ① 正常显示（这是必然的，不然就是程序有错误了） ② 正常显示，内容基本与①相同 ③ 提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next） 不可以注入就比较容易判断了，①同样正常显示，②和③一般都会有程序定义的错误提示，或提示类型转换时出错。

 

上面是怎样检测是否可以进行SQL注入的 SQL注入大概原理就是这样..

而作为一名程序员..我们关注的是怎样进行代码优化.防止SQL注入呢?

 

1. 凡是来自客户端的输入,就要进行完备的输入检查.
2. 把SQL语句替换成存储过程预编译语句或者使用ADO命令对象.
3. 实现一个默认的出错处理机制.
4. 锁定ODBC
5. 锁定对数据库服务器的配置.

 

总的来说,如果代码仔细一点,检查的够彻底,数据库安全配置严格一点,SQL注入也不是那么容易的.

 

本人JAVA小菜鸟一个..正在学习中..希望大家共同讨论呵呵.看看注入是为了自己写的代码更安全..

 

好了..继续上班写代码了..