防止ASP.NET被SQL注入攻击
防止ASP.NET被SQL注入攻击并不是难事,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
第一,对于动态构造SQL查询的场合,可以使用下面的技术。
替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义;删除用户输入内容中的所有连字符;对于用来执行查询的数据库账户,限制其权限。
第二,用存储过程来执行所有的查询。
SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限,可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
第三,限制表单或查询字符串输入的长度。
如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插
入有害代码的难度。