最常用的SQL注入攻击,就是绕过用户的身份验证。
先看看一个用户身份验证的代码吧,假设页面为login.aspx。
string strName = Request["name"].ToString();
string strPSD = Request["password"].ToString();
string strSQL = "select * from tbUser where name='" + strName + "'and password='" + strPSD + "'";
假设提交的数据为“login.aspx?name=smallfools&password=123”,那么strSQL的运行结果为:
select * from tbUser where name='smallfools' and password='123'
然后运行该SQL语句,如果返回的记录条数不为0,则说明用户身份验证成功。
从代码上看来,一切OK,可是事实上并非如此。假设一个用户在“姓名”文本框中输入“admin”,在密码框里输入“11' or 1=1”,然后提交这两个数据。
那么,strName的值为“admin”,strPSD的值为“11' or 1=1”,再将这两个值代入strSQL,那么strSQL的值为:
select * from tbUser where name='admin' and password='11' or 1=1
以上SQL语句的运行结果会怎么样?很明显,无论name和password的值是什么,只要or后面的值为true,那么返回结果就是true,所以,以上SQL语句可以返回tbUser表中的所有记录,如下图所示。
在上图中可以看出,以上SQL语句将返回表中的所有记录。
除此之外,还有一种SQL注入攻击的方法,那就是在“姓名”文本框中输入“admin' or 1=1 --”,在密码框里随便输入些什么,如“11”,然后提交这两个数据。
那么,strName的值为“admin' or 1=1 --”,strPSD的值为“11”,再将这两个值代入strSQL,那么strSQL的值为:
select * from tbUser where name='admin' or 1=1 --' and password='11'
SQL中“--”符号为注释的符号,因此,--后的所有代码将不会执行,所以,以上语句相当于
select * from tbUser where name='admin' or 1=1
以上语句就更好理解了,无论name是否为true,只要or后面的条件为true,就返回true,所以以上SQL也会返回tbUser表中的所有数据,如下图所示:
在上图中可以看出,以上SQL语句将返回表中的所有记录。
这就是一个典型的SQL注入攻击,攻击方法很简单,没有使用任何黑客手段,仅仅是利用了网页编写的漏洞来完成的,因此,这种功击是病毒软件和防火墙所无论防范的。