在ASP.net中如何預防SQL注入式攻擊
2008-12-31 00:00:00王男
現(xiàn)代商貿工業(yè) 2008年10期
摘 要:分析SQL注入式攻擊,提出防范SQL注入式攻擊的方法。
關鍵詞:SQL注入攻擊;ASP.net
中圖分類號:TP文獻標識碼:A文章編號:1672-3198(2008)10-0354-01
SQL注入式攻擊是指利用程序設計上的漏洞,在目標服務器上運行SQL命令以及其他命令的攻擊,動態(tài)生成SQL命令時沒有對用戶輸入的數(shù)據(jù)進行驗證,是SQL注入攻擊得逞的主要原因。
例如,如果用戶的查詢語句是select count(*) from tab_userwhere name=' \" user \" 'and password = ' \" pwd \" ' ,那么,如果name字段的值為1'or'1'='1 ,則查詢語句將會變成:
Select count(*) from tab_user where name='1' or '1' = '1' and password = ' \" pwd \" '。
以上輸入經(jīng)系統(tǒng)核對無誤運行后,注入者將通過驗證,進入程序管理界面,從而獲得軟件的管理權限,對系統(tǒng)安全造成一定程度的威脅。由此可見,防范SQL注入式攻擊對于系統(tǒng)安全有著至關重要的作用。
防范SQL注入式攻擊的方法之一是,對用戶輸入的信息進行檢查。特別是一些特別字符,比如單引號、雙引號、分號、逗號、冒號和連接號等。對這些字符進行轉換或者過濾,可有效防止攻擊的發(fā)生。
在Asp.net代碼中使用如下子程序可有效過濾特殊字符及字符串:
///inputString為用戶輸入需過濾的字符串
Public string ConvertSql(string inputString)
{
inputString = inputString.Trim();
inputString = inputString.Replace(\"' \", \" \" \");
inputString = inputString.Replace(\";—— \", \" \");
inputString = inputString.Replace(\"=\", \" \");
inputString = inputString.Replace(\"or\", \" \");
inputString = inputString.Replace(\"and\", \" \");
return inputString;
}
以上代碼在ASP.net中并非最有效的防范手段,最佳方法是通過SqlCommand.Parameters屬性的參數(shù)傳值方法實現(xiàn)防范,這樣一來可以通過參數(shù)將非法字符過濾掉。代碼如下:
Public int checkLogin(string namevalue,string pwdvalue)
{
SqlConnection conn = new SqlConnection(ConfigurationManager. AppSettings[\"connstr\"]);
///從web.config中讀出connstr對應的鍵值;
SqlCommand cmd= new SqlCommand(\"select count(*) from tab_user where name=@name_param and password=@pwd_param \" ,conn);
///動態(tài)創(chuàng)建SQL語句,其中聲明兩個參數(shù)name_param和pwd_param;
cmd.Parameters.Add(new SqlParameter(\"@name_param\",SqlDbType.NVarChar,20));
///動態(tài)創(chuàng)建參數(shù)name_param;
cmd.Parameters[\"name_param\"].Value=namevalue;
///對參數(shù)name_param進行賦值;
cmd.Parameters.Add(new SqlParameter(\"@pwd_param\",SqlDbType.NVarChar,20));
///動態(tài)創(chuàng)建參數(shù)pwd_param;
cmd.Parameters[“pwd_param”].Value=pwdvalue;
///對參數(shù)pwd_param進行賦值;
cmd.Connection.Open();
///打開數(shù)據(jù)鏈接;
int I = ( int ) cmd.ExecuteScalar();
///運行SQL語句,并提取返回值;
cmd.Connection.Close();
///關閉數(shù)據(jù)連接;
return I;
///返回結果;
