關於SQL注入攻擊與防範
隨着網絡的普及,關係數據庫的廣泛應用,網絡安全越來越重要。下面是YJBYS小編為大家搜索整理了關於SQL注入攻擊與防範,歡迎參考閲讀,希望對大家有所幫助。想了解更多相關信息請持續關注我們應屆畢業生培訓網!
一、 SQL注入攻擊
簡言之,SQL注入是應用程序開發人員未預期地把SQL代碼傳入到應用程序的過程。它由於應用程序的糟糕設計而成為可能,並且只有那些直接使用用户提供的值構建SQL語句的應用程序才會受影響。
例如:用户輸入客户ID後,GridView顯示客户的全部行記錄。在一個更加真實的案例中,用户還要輸入密碼之類的驗證信息,或者根據前面的登錄頁面得到用户ID,可能還會有一些用户輸入關鍵信息的文本框,如訂單的日期範圍或產品名稱。問題在於命令是如何被執行的。在這個示例中,SQL語句通過字符串構造技術動態創建。文本框txtID的值被直接複製到字符串中。下面是代碼:
在這個示例中,攻擊者可以篡改SQL語句。通常,攻擊的第一個目標是得到錯誤信息。如果錯誤沒有被恰當處理,底層的信息就會暴露給攻擊者。這些信息可用於進一步攻擊。
例如,想象一下在文本一下在文本框中輸入下面的字符串會發生什麼?
ALFKI'OR '1'='1
再看看因此生成的完整SQL語句:
這條語句將返回所有的訂單記錄,即便那些訂單不是由ALFDI創建,因為對每一行而言而有信1=1總是true。這樣產生的後果是沒有顯示當前用户特定信息,卻向攻擊者顯示了全部資料,如果屏幕上顯示的是敏感信息,如社會保險號,生日或信用卡資料,就會帶來嚴重的`問題。事實上,這些簡單的SQL注入往往是困擾那些大型電子商務公司的麻煩。一般而言,攻擊點不在於文本框而在於查詢字符串(可被用於向數據庫傳送值,如列表頁向詳細信息頁面傳送唯一標識符)。
還可以進行更復雜的攻擊。例如,攻擊者可以使用兩個連接號(--)註釋掉SQL語句的剩餘部分。這樣的攻擊只限於SQL Server,不過對於其他類型的數據庫也有等效的辦法,如MySql使用(#)號,Oracle使用(;)號。另外攻擊者還可以執行含有任意SQL語句的批處理命令。對於SQL Server提供程序,攻擊者只需在新命令前加上分號(;)。攻擊者可以採用這樣的方式刪除其他表的內容,甚至調用SQL Server的系統存儲過程xp_cmdshell在命令執行任意的程序。
下面是攻擊者在文本框中輸入的,它的攻擊目標是刪除Customers表的全部行。
LUNCHUN’;DELETE*FROM Customers--
二、防範
如何預防SQL注入攻擊呢?需要記住幾點。首先,使用ength屬性防止用户輸入過長的字符是一個好辦法。因為它們不夠長,也就減少了貼入大量腳本的可能性。其次,要使用驗證控件鎖定錯誤的數據(如文本、空格、數值中的特殊字符)。另外,要限制錯誤信息給出的提示。捕獲到數據庫異常時,只顯示一些通用的信息(如“數據源錯誤”)而不是顯示age屬性中的信息,它可能暴露了系統攻擊點。
更為重要的是,一定要小心去除特殊字符。比如,可以將單引號替換為兩個單引號,這樣它們就不會和SQL語句的分隔符混淆:
string ID=()ace(“’”,”’’”);
當然,如果文本確實需要包含單引號,這樣做就引入了其他麻煩。另外,某些SQL注入攻擊還是可行的。替換單引號可以防止用户提前結束一個字符串,然而,如果動態構建含有數值的SQL語句,SQL注入攻擊又有發揮的空間了。這個漏洞常被(這是很危險的)忽視。更好的解決辦法是使用參數化的命令或使用存儲過程執行轉義以防止SQL注入攻擊。
另一個好建議是限制用於訪問數據庫的賬號的權限。這樣該賬號將沒有權限訪問其他數據庫或執行擴展的存儲過程。不過這樣並不能解決SQL腳本注入的問題,因為用於連接數據庫的進程幾乎總是需要比任意單個用户更大的權限。通過限制權限,可以預防刪除表的攻擊,但不能阻止攻擊者偷看別人的信息
三、POST注入攻擊
精明的用户可能會知道還有另外一個Web控件攻擊的潛在途徑。雖然參數化的命令防止了SQL注入攻擊,但它們不能阻止攻擊者向回發到服務器的數據添加惡意的值。如果不檢查這些值,就使得攻擊者可以提交本來不可能存在的控件值。
例如,假設你有一個顯示當前用户訂單的列表。狡詐的攻擊者可能保存該頁面的一個本地副本,修改HTML內容向列表添加更多的項目,然後選擇某個“假”的項目。如果攻擊成功,攻擊者就能夠看到其他用户訂單,這顯然是一個問題。幸好,使用一個很少被提及的叫做“事件驗證”的特性來防止這種攻擊。事件驗證檢查回發到服務器的數據並驗證其中值的合法性。例如,如果回發的數據表明用户選擇了一個沒有意義的數據(因為它在控件中並不存在),就產生一個錯誤並停止處理。可以在Page指令中設置EnableEventValidation特性為false來禁用事件驗證。創建使用客户端腳本動態改變內容的頁面時,需要執行這一步。不過,此時在使用這些值之前要注意檢查潛在的POST注入攻擊。
-
python批量生成本地ip地址的方法是什麼
python批量生成本地ip地址的方法是什麼呢?本文實例講述了python批量生成本地ip地址的方法。分享給大家供大家參考。具體分析如下:...
-
javascript中的return和閉包函數
複製代碼代碼如下:functionmakefunc(x){returnfunction(){returnx;}}alert(makefunc(0));其實不是不執行,只是朋友的意思這裏alert出來的`應該是“0”,而不是function(){returnx;}。不是腳本寫錯了,只是沒搞懂return,從當前函數退出,並從那個函數返回一個值。如果返...
-
網頁設計很糟糕的10個原因
個好的網頁設計,不僅吸引眼球,也是實用的、直觀的、層級簡單卻足夠複雜到保持用户的興趣。但是不好的網頁設計是由很多原因造成的,下面是關於網頁設計很糟糕的10個原因,歡迎閲讀了解!沒有足夠的空白空白可以説是設計中最重要的一部分。它有助於防止用户在瀏覽網站時...
-
WAP教程:WML 鏈接和圖像
鏈接可以製作WML卡片來顯示WML的錨功能,圖像可以製作WML卡片來顯示圖像.鏈接可以製作WML卡片來顯示WML的錨功能。標籤總是要規定一個任務("go","prev",或"refresh")。任務定義了當用户選擇此鏈接時要做的事情。在本例中,當用户選擇"Nextpage",其任務是"前往":Next...