关于防止sql注入的几种手段

最新推荐文章于 2024-07-16 18:00:00 发布
最新推荐文章于 2024-07-16 18:00:00 发布
阅读量889 收藏
点赞数
分类专栏: .NET 文章标签: sql 存储 object null mysql c#

 转自:http://www.cnblogs.com/perfectdesign/archive/2009/11/24/sqlinjection1.html

 

 

关于防止sql注入的几种手段(一)

其 实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止 注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待 sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧

 

 一  存储过程参数化能解决绝大部分的注入问题。存储过程之所以能够解决绝大部分的注入问题,是因为mssql的机制,它认为你的是参数就是参数不能够解析为可执行的sql。但是这仅仅能解决绝大部分问题

二   当需要在proc里面动态拼凑sql,使用类似exec,sp_executesql的时候,一定要使用后者,虽然两者都是传递一个字符串,这个字符串作 为sql语句执行,但是后者提供为sql语句提供参数的功能,使得被执行的sql语句参数化,而防止注入,前者如果使用传入的参数来拼凑sql,则参数就 会间接转换成sql语句而导致注入。

 

关于防止sql注入的几种手段(二)

 

 

 第二条或许应该再补充一下,在mysql里,也有类似的执行动态语句的,就是PREPARE+execute,这个的使用和mssql里的sp_executesql功效相同,也能够带参数,防止动态sql语句注入。

 

在很多应用场景里面,用户最烦的就是分页的存储过程写法,所以,很多人就发明了通用的存储过程分页,可以通过site:cnblogs.com 通用存储过程分页 在gg里搜索,居然有32000条收录,先不说别的,看看排名前三位的的吧,

 

1  http://www.cnblogs.com/wengyuli/archive/2009/01/13/1375196.html

 

2  http://www.cnblogs.com/spring/archive/2005/09/02/228573.html

 

3 http://www.cnblogs.com/vagerent/archive/2007/10/17/927825.html

 

都是有注入漏洞的, 随便拿一个来试试注入,排名第一的,sql语句如下:

 


-- TOP n 实现的通用分页存储过程(转自邹建)
CREATE   PROC  sp_PageView
 @tbname      sysname,                -- 要分页显示的表名
@FieldKey     nvarchar ( 1000 ),       -- 用于定位记录的主键(惟一键)字段,可以是逗号分隔的多个字段
@PageCurrent   int = 1 ,                -- 要显示的页码
@PageSize     int = 10 ,                 -- 每页的大小(记录数)
@FieldShow   nvarchar ( 1000 ) = '' ,       -- 以逗号分隔的要显示的字段列表,如果不指定,则显示所有字段
@FieldOrder   nvarchar ( 1000 ) = '' ,       -- 以逗号分隔的排序字段列表,可以指定在字段后面指定DESC/ASC
                                          用于指定排序顺序
 @Where      nvarchar ( 1000 ) = '' ,      -- 查询条件
@PageCount   int  OUTPUT              -- 总页数
AS
SET  NOCOUNT  ON
-- 检查对象是否有效
IF   OBJECT_ID ( @tbname IS   NULL
BEGIN
     RAISERROR (N ' 对象"%s"不存在 ' , 1 , 16 , @tbname )
     RETURN
END
IF   OBJECTPROPERTY ( OBJECT_ID ( @tbname ),N ' IsTable ' ) = 0
     AND   OBJECTPROPERTY ( OBJECT_ID ( @tbname ),N ' IsView ' ) = 0
     AND   OBJECTPROPERTY ( OBJECT_ID ( @tbname ),N ' IsTableFunction ' ) = 0
BEGIN
     RAISERROR (N ' "%s"不是表、视图或者表值函数 ' , 1 , 16 , @tbname )
     RETURN
END

-- 分页字段检查
IF   ISNULL ( @FieldKey ,N '' ) = ''
BEGIN
     RAISERROR (N ' 分页处理需要主键(或者惟一键) ' , 1 , 16 )
     RETURN
END

-- 其他参数检查及规范
IF   ISNULL ( @PageCurrent , 0 ) < 1   SET   @PageCurrent = 1
IF   ISNULL ( @PageSize , 0 ) < 1   SET   @PageSize = 10
IF   ISNULL ( @FieldShow ,N '' ) = N ''   SET   @FieldShow = N ' * '
IF   ISNULL ( @FieldOrder ,N '' ) = N ''
     SET   @FieldOrder = N ''
ELSE
     SET   @FieldOrder = N ' ORDER BY  ' + LTRIM ( @FieldOrder )
 IF   ISNULL ( @Where ,N '' ) = N ''
     SET   @Where = N ''
ELSE
     SET   @Where = N ' WHERE ( ' + @Where + N ' ) '

-- 如果@PageCount为NULL值,则计算总页数(这样设计可以只在第一次计算总页数,以后调用时,把总页数传回给存储过程,避免再次计算总页数,对于不想计算总页数的处理而言,可以给@PageCount赋值)
IF   @PageCount   IS   NULL
BEGIN
     DECLARE   @sql   nvarchar ( 4000 )
     SET   @sql = N ' SELECT @PageCount=COUNT(*) '
         + N '  FROM  ' + @tbname
         + N '   ' + @Where
     EXEC  sp_executesql  @sql ,N ' @PageCount int OUTPUT ' , @PageCount  OUTPUT
     SET   @PageCount = ( @PageCount + @PageSize - 1 ) / @PageSize
END

-- 计算分页显示的TOPN值
DECLARE   @TopN   varchar ( 20 ), @TopN1   varchar ( 20 )
 SELECT   @TopN = @PageSize ,
     @TopN1 = ( @PageCurrent - 1 ) * @PageSize

-- 第一页直接显示
IF   @PageCurrent = 1
     EXEC (N ' SELECT TOP  ' + @TopN
         + N '   ' + @FieldShow
         + N '  FROM  ' + @tbname
         + N '   ' + @Where
         + N '   ' + @FieldOrder )
 ELSE
BEGIN
     -- 处理别名
     IF   @FieldShow = N ' * '
         SET   @FieldShow = N ' a.* '

     -- 生成主键(惟一键)处理条件
     DECLARE   @Where1   nvarchar ( 4000 ), @Where2   nvarchar ( 4000 ),
         @s   nvarchar ( 1000 ), @Field  sysname
     SELECT   @Where1 = N '' , @Where2 = N '' , @s = @FieldKey
     WHILE   CHARINDEX (N ' , ' , @s ) > 0
         SELECT   @Field =LEFT ( @s , CHARINDEX (N ' , ' , @s ) - 1 ),
             @s = STUFF ( @s , 1 , CHARINDEX (N ' , ' , @s ),N '' ),
             @Where1 = @Where1 + N '  AND a. ' + @Field + N ' =b. ' + @Field ,
             @Where2 = @Where2 + N '  AND b. ' + @Field + N '  IS NULL ' ,
             @Where = REPLACE ( @Where , @Field ,N ' a. ' + @Field ),
             @FieldOrder = REPLACE ( @FieldOrder , @Field ,N ' a. ' + @Field ),
             @FieldShow = REPLACE ( @FieldShow , @Field ,N ' a. ' + @Field )
     SELECT   @Where = REPLACE ( @Where , @s ,N ' a. ' + @s ),
         @FieldOrder = REPLACE ( @FieldOrder , @s ,N ' a. ' + @s ),
         @FieldShow = REPLACE ( @FieldShow , @s ,N ' a. ' + @s ),
         @Where1 = STUFF ( @Where1 + N '  AND a. ' + @s + N ' =b. ' + @s , 1 , 5 ,N '' ),    
         @Where2 = CASE
             WHEN   @Where = ''   THEN  N ' WHERE ( '
             ELSE   @Where + N '  AND ( '
             END + N ' b. ' + @s + N '  IS NULL ' + @Where2 + N ' ) '

     -- 执行查询
     EXEC (N ' SELECT TOP  ' + @TopN
         + N '   ' + @FieldShow
         + N '  FROM  ' + @tbname
         + N '  a LEFT JOIN(SELECT TOP  ' + @TopN1
         + N '   ' + @FieldKey
         + N '  FROM  ' + @tbname
         + N '  a  ' + @Where
         + N '   ' + @FieldOrder
         + N ' )b ON  ' + @Where1
         + N '   ' + @Where2
         + N '   ' + @FieldOrder )
 END

 这个是转自邹健大哥的,邹健想必大家都认识,让我们来试一下他的通用存储过程:

 

exec sp_PageView 'article','articleid',1,10,'subject,articleid',' articleid desc;select 1 as ''ok''; ','', null 

 

看看返回什么吧:

 

 

 

注入成功!

那这个到底怎么回事呢???

邹健大哥的通用存储过程都存在漏洞吗?

 

到底什么样的写法才不会被注入呢?太恐怖了

dong_chi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止SQL注入的五种方法
更南的南z
03-27 1494
防止SQL注入的五种方法一、SQL注入简介二、SQL注入攻击的总体思路三、SQL注入攻击实例四、应对方法 一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入是比较常见的网络攻击方式之一,它不是
防止sql 注入的方法
yezongzhen的博客
05-08 222
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录...
SQL注入如何防护的实现方法汇总
2301_76418831的博客
04-14 303
综上所述,咱们为了防范SQL注入攻击,需要在Magento开发中采用一些有效的防护措施,如使用Magento提供的SQL查询方式、PDO进行数据库操作、对输入参数进行验证和过滤、使用XSS防护机制、禁止使用动态SQL语句等。在Magento中,可以通过使用Mage_Core_Helper_Data类中的函数进行XSS攻击防护,如使用$this->htmlEscape()函数对输出进行过滤。如果必须使用动态SQL语句,应该对输入参数进行验证和过滤,并使用PDO等方式防范SQL注入攻击。
mysql 存储过程 sql注入_存储过程是否可以防止SQL注入
weixin_34198817的博客
02-27 2900
存储过程并不能神奇地阻止SQL注入,但是它们确实使防止注入变得容易得多。您所要做的只是类似以下内容(Postgres示例):CREATEORREPLACEFUNCTIONmy_func(INin_user_id INT)[snip]SELECTuser_id,name,addressFROMmy_tableWHEREuser_id=in_user_id;--BAM! SQL INJECTION I...
SQL注入详解:原理、攻击手段及防御策略
最新发布
fudaihb的博客
07-16 2063
SQL注入SQL Injection)是Web应用程序安全中最常见和最严重的漏洞之一。攻击者通过将恶意SQL代码插入输入字段,欺骗应用程序执行未授权的SQL命令,从而访问、篡改或删除数据库中的敏感数据。本文将深入探讨SQL注入的原理、常见攻击手段及其防御策略。
SQL注入攻击的种类和防范手段
weixin_30808575的博客
06-26 143
观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施。 SQL注入攻击的种类 知彼知己,方可取胜。首先要清楚SQL注入攻击有哪些种类。 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入...
关于防止sql注入几种手段(三)
weixin_34235105的博客
01-12 565
上一篇引起不少争议,也是自己没有一次性写完。上回说到邹健大哥的存储过程有漏洞, 有人又提出这个很多都是程序员加上去的,压根就不可能注入,的确,有很多拼凑sql的时候是程序里面加上去的,不是来自外界的“直接”输入。我上次的演示例子是基于的最后的排序,那如果要是在where 条件里面呢?能保证100%都不是来自外界的输入吗?另外,软件的分层开发,很多程序员的水平参差不齐,能保证where条件都能100...
关于防止sql注入几种手段(一)
weixin_34092370的博客
01-12 223
其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧 ...
Hibernate使用中防止SQL注入几种方案
01-20
以下是Hibernate中防止SQL注入几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
Python中防止sql注入的方法详解
09-21
本文将详细介绍几种在Python开发中防止SQL注入的方法,并通过实例来展示这些技术的应用。 #### SQL注入的原因与危害 SQL注入通常发生在当开发者未能正确地清理或验证用户提交的数据时。攻击者可以通过构造特殊的SQL...
php防止sql注入示例分析和几种常见攻击正则表达式
12-19
除了使用正则表达式过滤,还可以采用以下方法来防止SQL注入: - 使用预处理语句(如PDO的`prepare()`和`execute()`)来分离SQL结构和用户输入。 - 使用参数化查询,避免直接拼接SQL字符串。 - 使用安全的数据库...
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
避免SQL注入三大方法
littlecolor
05-19 2382
为什么会把这三个概念放在
最简单有效的SQL防注入的两种方法
ddy2000的专栏
08-22 751
数据库系统,一个重要的问题是防止注入,下面是最简单有效的方法:1、输入的数据(字符)单引号替换成双单引号;如(ASP):strSql = "Select * From [pH_Person_Searcher] Where Perid="&Repace(Perid,"","")&"" 2、参数化,使用存储过程等方式传入输入进行下一步操作;如(ASP): Set
防止SQL注入-参数化SQL例代码asp.net
12-23 470
/// /// 更新一条数据 /// public void Update(Web.Model.T_Class model) { StringBuilder strSql = new StringBuilder(); strSql.Append("update T_sadfsd se
mysql 存储过程 sql注入_postgresql存储过程是否阻止SQL注入
weixin_35459464的博客
01-27 360
不,存储过程不会阻止sql注入.这是一个不幸允许sql注入存储过程的实际示例(来自我工作的内部应用程序).这个sql服务器代码:CREATE PROCEDURE [dbo].[sp_colunmName2]@columnName as nvarchar(30),@type as nvarchar(30),@searchText as nvarchar(30)ASBEGINDECLARE @sql...
防止sql注入存储过程
meiqingsong的专栏
04-08 3271
-- Function: fn_escapecmdshellstring-- Description: Returns an escaped version of a given string--              with carets (^) added in front of all the special --              command shell symbol
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
防止SQL注入:Nginx配置详解
防止SQL注入的策略通常包括以下几点: 1. **参数化查询**:使用参数化查询或预编译的SQL命令,如C#中的`SqlCommand`对象的`Parameters`集合。这可以确保用户输入被作为数据而非代码处理,从而避免执行恶意SQL。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值