IT

 

SQL注入还是很流行和普遍,随着web程序的风行,甚至有愈演愈烈之势。

 

关于SQL注入的影响,也是可大可小的,先说个小故事吧。记得五六年前帮助一个朋友对他的网站义务做渗透测试时,随手试试,就找到个SQL注入的问题。于是打个电话给朋友,告诉他有这样的问题的严重性,他很客气的说,“太谢谢你了,哦,SQL注入啊,没关系了”。我无语片刻后,花了一点时间,利用刚找到的SQL注入,很不情愿的拿到了系统权限,最后在朋友的网站服务器的桌面上,放下了个一个文本文件。再打电话给他,告诉他,我一不小心放了个文件在你的桌面上。朋友的语气变了,开始问我如何解决。当然不是每个SQL注入的漏洞都能让入侵者拿到系统级别权限,实际上稍做配置,就不太容易了。不过以上我说的几步很简单,简单到所有的脚本小子高中生初中生都会,准确地说,他们比我更擅长和更迅速,有简单而高效的利用工具,甚至他们不需要学习什么是SQL

 

然而五六年过去了,这些伎俩都没有过时,可见并非所有的防守方的防范技术都在与时俱进。谈论SQL注入的文章很多,却很少看到有文章全面的从开发者的角度出发,列出实际开发中应该注意的一些防范措施,本文尝试做这么一件事情。关于什么是SQL注入,有很多文章谈过了,就不详谈了。

 

造成SQL注入的一个很重要的原因是,数据和逻辑的混杂。很常见的做法就是,将用户的输入和SQL语句进行拼接,最终导致了用户的输入变为了SQL语句的一部分。因此,防范SQL注入的一个很重要的原则就是,让数据只是数据,尽量不要使用用户的数据来构造SQL语句。当然,SQL注入如此盛行的另外一个重要原因是,充满想象力的恶意输入。

 

类似SQL这样的结构化查询语句,都有可能有类似的注入攻击,比如LDAP,甚至XPath

 

如何防范SQL注入呢?以下几点可以帮助你。

1)      使用参数化的查询

 

不同的语言和平台都有不同的方式使用。比如,在ADO.net中,可以使用Paramater.Add;在Java中,可以使用setString, setBoolean等;Perl DBI Module,则使用Prepare, bind_param。

 

使用参数化查询,自然避免了使用拼接字符串以构造SQL语句,因此也把用户的输入和程序的逻辑分离开了。另外,也有了强类型的检查。不用再担心单引号和分号等等“非法”字符了。

 

 

2)      在存储过程中使用参数化输入  

 

如果使用存储过程,则应使用参数作为存储过程的输入。

 

利用存储过程来防范SQL注入,也依赖于使用的方式,如果又重新回到了拼接字符串,依然可能导致SQL注入。

 

而且,有些数据库不支持存储过程,比如PostgreSQLMySQL4.xAccess

 

另外,对于存储过程,只要赋予数据库用户对存储过程最小的权限就可以了,一般来说,就是执行的权限。

 

 

3)      严格验证用户输入

越严格越好,比如不光是过滤或escape/encode一些常见的非法字符,而是只允许输入符合要求的字符,比如对于id,可能就是0-9的数字,等等。

 

4)      不暴露任何错误消息

攻击者们总是喜欢通过错误信息以判断是否存在SQL注入的问题,另外也通过错误信息以获得进一步的信息。一个好的做法是,一旦出错,就跳转到自定义的错误页面。

 

5)      配置安全的数据库

本着深度防守的原则,数据库的安全配置也是很重要的一环。比如,即使有SQL注入的问题,但是程序里数据库用户的权限极低,这样也可以把影响降到最低。这里可能有很多的tips,比如

a.       尽可能少的权限,

b.       把管理的帐号的程序使用的帐号分开

c.       去掉一些危险的扩展存储过程,比如SQL Server里面的xp_cmdshell

d.       打好补丁

e.       数据库的密码不要放在配置文件里

f.        ….

 

posted on 2010-01-06 09:02  liufei  阅读(214)  评论(0编辑  收藏  举报