浅谈SQL注入漏洞以及防范策略

--HeShiwei 2014-5-15

什么是SQL注入 

SQL注入,指的是用户通过向登录框输入恶意字符,利用代码的字符串拼接漏洞进行网站注入攻击,最终导致整个网站用户表信息泄露的攻击方式。黑客就是利用了程序员的字符串拼接sql语句。这个漏洞在几年前很流行,因为利用它实在是太简单。随着近几年程序员安全意识提高,注入漏洞早已不见踪影。

  假如你去面试,HR看到写的程序还在用字符串拼接,基本没戏。但是我们的学校依然教拼接字符串。用winform或 wpf做的XX管理系统,问题也不大因为用的人不多。一旦用asp.Net做网站,还拼接sql语句。后果可想而知。为此专门以Sql Server为例做了一个非常简单的登录验证,说明此问题的严重性:

 这是一个典型的登录案例:

private string strConn = "server=.\\sqlexpress;database=School;uid=sa;pwd=123456";

private void btnConfirm_Click(object sender, EventArgs e)
{
if (String.IsNullOrEmpty(txtUserName.Text.Trim())
    || String.IsNullOrEmpty(txtPassWord.Text.Trim()))
{
    MessageBox.Show("输入错误,请检查!","提示",MessageBoxButtons.OK,MessageBoxIcon.Information);
    return;
}

//创建连接对象
using (SqlConnection conn = new SqlConnection(strConn))
{
    //创建命令对象
    using (SqlCommand cmd = conn.CreateCommand())
    {
        SqlDataReader dr = null;
        cmd.CommandText = "select * from UserInfo where uName='"+txtUserName.Text.Trim()+"' and uPass='" + txtPassWord.Text.Trim() + "'";

        //尝试连接、执行
        try
        {
            conn.Open();
            dr = cmd.ExecuteReader();
        }
        catch (Exception ex)
        {
            MessageBox.Show("数据库错误:"+ex.Message);
            return;
        }

        //是否存在数据(存在数据表示登录成功)
        if (dr.HasRows)
        {
            //指针指向第一条数据
            dr.Read();

            MessageBox.Show("登录成功 当前登录用户:"+dr.GetString(1));
        }
        else
        {
            MessageBox.Show("此用户不存在!");
        }


    }
}

下面是用户表(UserInfo)的数据:

当我们在任何一个文本框输入万能字符串:

' or '1'='1

发现一个奇怪的现象:

为什么会这样,我们看设断点,看看拼出了什么样的sql语句:

select * from UserInfo where uName='admin' and uPass='' or '1'='1'

还有一种情况:

 

看看凭借出了什么样的sql语句:

select * from UserInfo where uName='admin'--' and uPass='这里随意输!'

'--'后面都是被注释的。所以真正执行的是:

select * from UserInfo where uName='admin'

这样一来,只要知道任意一个用户名就能登录系统。

这就是最最简单的一种sql注入漏洞,由此可见程序员一旦不幸使用sql拼接,登录验证就是一摆设。

 

注入漏洞的防范措施:使用参数化查询。

using (SqlCommand cmd = conn.CreateCommand())
{
    SqlDataReader dr = null;
    //使用参数代替值
    cmd.CommandText = "select * from UserInfo where uName=@name and uPass=@pass";
    //建立参数对象
    cmd.Parameters.Add(new SqlParameter("@name", txtUserName.Text.Trim()));
    cmd.Parameters.Add(new SqlParameter("@pass", txtPassWord.Text.Trim()));
try { conn.Open(); dr = cmd.ExecuteReader(); } catch (Exception ex) { MessageBox.Show("数据库错误:"+ex.Message); return; } if (dr.HasRows) { dr.Read(); MessageBox.Show("登录成功 当前登录用户:"+dr.GetString(1)); } else { MessageBox.Show("此用户不存在!"); } }

 

 

上面的登录验证太简单,附上一个带15分钟内限定登录次数的。 

更正之前《登录小案例》密码错3次15分钟内不准登录

附:SQL语句

 

create database School
go
use School
go
create table UserInfo
(
    uId int constraint pk_UserInfo_uId primary key(uId) identity(1,1),
    uName nvarchar(32) not null constraint uq_UserInfo_uName unique(uName),
    uPass varchar(16) not null constraint ck_UserInfo_uPass check(len(uPass)>=3),
    uEmail varchar(32) null,
    uErrTimes int not null constraint df_UserInfo_uErrTimes default(0),
    uLastErrTime datetime not null constraint df_UserInfo_uLastErrTime default('1990-1-1')
)
go
insert into UserInfo
values 
('admin','888','137233130@qq.com',default,default),
('admin1','999','137233130@qq.com',default,default),
('admin2','000','137233130@qq.com',default,default)


select * from UserInfo

 

 

 

posted @ 2014-05-15 18:28  AnyDrew  阅读(1022)  评论(0编辑  收藏  举报