防范SQL Server注入攻击

       SQL 注入式攻击是指利用设计上的漏洞攻击系统,如果动态生成SQL 语句时没有对用户输入的数据进行过滤,便会使SQL 注入攻击得逞.

 例如:

用下面的SQL 语句判断用户名和密码:

txtSQL = "select * from user_Info where user_ID = '" & txtusername.text & _

 "'and 密码='" & txtpassword.text & "'",cnn,adOpenKeyset,adLockOptimistie

则通过SQL 注入攻击,在"密码"文本框中输入 1'or'1'='1,非法用户便额可在没有密码的情况下轻松登陆系统,因为SQL 语句变成了:

txtSQL = "select * from user_Info where user_ID = '" &txtusername.text & _

 "'and 密码='"   &  1'or'1'='1 & "'" ,cnn,adOpentKeyset,adLockOptimistie

       因为1'or'1'='1 是一个为真的语句,那么那句select语句就变成了,txtSQL = "select * from user_Info",查询出来全部的信息,所以就可以在没有密码的 情况下也可以成功登陆系统.

       关于更多的SQL 注入攻击语句,请看我师父的博客<SQL 注入漏洞全接触——入门篇>,<SQL 注入漏洞全接触——进展篇>,<SQL 注入漏洞全接触——高级篇>,<SQL 注入法攻击一日通>,<SQL Server应用程序中的高级SQL注入 >

 

       要犯法SQL 注入攻击,应该注意一下几个问题:

1要检查输入的SQL 语句的内容,如果包含敏感字符,则删除敏感字符,敏感字符包括'  ,   > , <=,, ! ,, - , + ,  * ,  /,   () ,   | 和空格

2不要在用户输入过程中构造WHERE子句,应该利用参数来使用存储过程.

 

 

       防范SQL 注入式攻击:

(1)编写过滤敏感字符的函数,函数如下

把select 查询语句改为:

txtSQL = "select * from user_Info where user_ID = '" &txtusername.text & _

 "'and 密码='"+inputString(txtpassword.text) & "'",cnn,adOpenKeyset,adLockOptimistie

使用该函数后,非法用户就不能非法登陆系统了!

 

(2) 通过存储过程过滤敏感字符

首先在SQL Server 中定义存储过程xtdl,然后再在程序设计中编写代码:

 

这是两种防范SQL 注入攻击的防范,希望能帮组到你.在以后的数据库操作中,我们肯定会遇到这样的问题,有问题就肯定会有解决的方案的!