前断时间发现问这个问题的比较多,那SQL注入到底是怎么做到的呢?来个简单的例子就大概明白了。
假如我们有一个用户表
sql code
create table t_user
(
username varchar(20) primary key,
pwd varchar(20)
)
go
--示例数据:
insert into t_user(username,pwd)
select 'admin001','pwd001' union all
select 'admin002','pwd002' union all
select 'admin003','pwd003'
下面我们要写程序验证用户名和密码,这是网站后台登陆经常出现的程序,假如代码如下:
c# code:
string username = textbox1.Text;
string pwd = textbox2.Text;
string sql = "select * from t_user where username ='" + username + "' and pwd = '" + pwd + "'";
...
//如果我分别输入 textbox1.Text = "1' or '1'='1'", textbox2.Text = "1' or '1'='1'" ,结果会如何呢,看看下面;
Response.Write(sql);
Response.End();
//输出结果如下:
select * from t_user where username ='1' or '1'='1' and pwd='1' or '1'='1'
把上面的语句在查询分析器里面执行看看,是不是所有的数据都出来了。这样就绕过了用户验证了吧。
现在终于看出来是哪里出的问题了吧,一般SQL注入都是由拼接SQL语句和单引号'引起的。这里提供两种简单的解决办法:
1.过滤逗号:这个方法比较笨,而且不是很好用,因为你必须在每个程序页面都过滤逗号;上面代码可以改成:
c# code:
string username = Replace(textbox1.Text,"'","");
string pwd = Replace(textbox2.Text,"'","');
string sql = "select * from t_user where username ='" + username + "' and pwd = '" + pwd + "'";
2.用存储过程代替拼接的语句:这是个好方法,也是备受推崇的方法。好处就不多说了。存储过程如下:
sql code
create procedure p_user_verify
@username varchar(20) = '',
@pwd varchar(20) = ''
as
set nocount on
if exists(select * from t_user where username = @username and pwd = @pwd )
return 1 -- return 1表示通过验证
else
return 0 -- return 0表示验证失败
go
然后在代码直接调用存储过程就ok了。