SQL注入

1.什么是SQL注入（SQL Injection）

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

2.SQL注入攻击实例

比如在一个登录界面，要求输入用户名和密码：

可以这样输入实现免帐号登录：

用户名： ‘or 1 = 1 –

密 码：。。。。。

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

从理论上说，后台认证程序中会有如下的SQL语句：

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码，上面的SQL语句变成：

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL语句：

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

这还是比较温柔的，如果是执行一下语句：

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知…

3.应对方法

1.（简单又有效的方法）PreparedStatement，采用预编译语句集。
它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。

使用好处：

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理：

sql注入只对sql语句的准备(编译)过程有破坏作用，而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

要引入的包：import java.util.regex.*;
正则表达式：

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配：Pattern.matches(CHECKSQL,targerStr);
下面是具体的正则表达式：
检测SQL meta-characters的正则表达式 ：/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 ：

/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 ：

/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入，UNION查询关键字的正则表达式 ：

/((\%27)|(\’))union/ix(\%27)|(\’)

检测MS SQL Server SQL注入攻击的正则表达式：

/exec(\s|\+)+(s|x)p\w+/ix

3.字符串过滤

比较通用的一个方法：（||之间的参数可以根据自己程序的需要添加）

public static boolean sql_inj(String str){
    String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
   String inj_stra[] = split(inj_str,"|");
   for (int i=0 ; i < inj_stra.length ; i++ ){
      if (str.indexOf(inj_stra[i])>=0){
           return true;
     }
  }
return false;
}

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入：

sql_inj.java代码：

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str){
    String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//这里的东西还可以自己添加
    String[] inj_stra=inj_str.split("\\|");
    for (int i=0 ; i < inj_stra.length ; i++ ){
         if (str.indexOf(inj_stra[i])>=0){
              return true;
          }
    }
return false;
}}

5.JSP页面判断代码：
使用javascript在客户端进行不安全字符屏蔽
功能介绍：检查是否含有”‘”,”\”,”/”
参数说明：要检查的字符串
返回值：0：是1：不是
函数名是：

function check(a){
   return 1;
   fibdn = new Array (”‘” ,”\\”,”/”);
   i=fibdn.length;
   j=a.length;
   for (ii=0; ii＜i; ii++){
      for (jj=0; jj＜j; jj++){ 
         temp1=a.charAt(jj);
         temp2=fibdn[ii];
         if (tem’; p1==temp2){
            return 0;
         }
      }
   }
return 1;
}

总的说来，防范一般的SQL注入只要在代码规范上下点功夫就可以了。

凡涉及到执行的SQL中有变量时，用JDBC（或者其他数据持久层）提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了。

4.判断是否可以进行SQL注入

首先，不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，ＳＱＬ注入是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。

其次，部分对ＳＱＬ注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，这种情况不为少数，如果你用单引号测试，是测不到注入点的

那么，什么样的测试方法才是比较准确呢？如下：

① http://www.wenkuxiazai.com/showdetail.asp?id=49

② http://www.wenkuxiazai.com/showdetail.asp?id=49 and 1=1

③ http://www.wenkuxiazai.com/showdetail.asp?id=49 and 1=2

这就是经典的1=1、1=2测试法了，怎么判断呢？看看上面三个网址返回的结果就知道了：

可以注入的表现：

① 正常显示（这是必然的，不然就是程序有错误了）

② 正常显示，内容基本与①相同

③ 提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next）

不可以注入就比较容易判断了
①同样正常显示
②和③一般都会有程序定义的错误提示，或提示类型转换时出错。

当然，这只是传入参数是数字型的时候用的判断方法，实际应用的时候会有字符型和搜索型参数，我将在中级篇的“ＳＱＬ注入一般步骤”再做分析。

5，判断数据库类型及注入方法

不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站都是其中之一。

怎么让程序告诉你它使用的什么数据库呢？来看看：
<途径一：直接从出错信息获取>
SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示的话，那可以直接从出错信息获取，方法如下：

http://www.wenkuxiazai.com/showdetail.asp?id=49 and user>0

它的含义：
首先，前面的语句是正常的，重点在and user>0，user是SQLServer的一个内置变量，它的值是当前连接的用户名，类型为nvarchar。

然后，拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误，abc正是变量user的值

这样，不废吹灰之力就拿到了数据库的用户名

顺便说几句，众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa权限，几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用sa登录，要注意的是：如果是sa登录，提示是将”dbo”转换成int的列发生错误，而不是”sa”。

<途径二：从数据库系统表的判断入手>

如果服务器IIS不允许返回错误提示，那怎么判断数据库类型呢？
首先，我们可以从Access和SQLServer和区别入手，Access和SQLServer都有自己的系统表，比如存放数据库中所有对象的表，Access是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表[sysobjects]中，在Web环境下可正常读取。
然后在确认可以注入的情况下，使用下面的语句：

http://www.wenkuxiazai.com/showdetail.asp?id=49 and (select count(*) from sysobjects)>0
http://www.wenkuxiazai.com/showdetail.asp?id=49 and (select count(*) from msysobjects)>0
结果分析：
如果数据库是SQLServer，那么第一个网址的页面与原页面http://www.wenkuxiazai.com/showdetail.asp?id=49是大致相同的；
而第二个网址，由于找不到表msysobjects，会提示出错，就算程序有容错处理，页面也与原页面完全不同。

如果数据库用的是Access，那么情况就有所不同，第一个网址的页面与原页面完全不同；
第二个网址，则视乎数据库设置是否允许读该系统表，一般来说是不允许的，所以与原网址也是完全不同。
大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提示时的验证。