SQL與網絡數據庫的安全

摘 要：有些網絡數據庫沒有過濾客戶提供的數據中可能存在的有害字符，SQL注射是利用插入有害字符對網絡數據庫進行攻擊的技術。容易防范，但因特網上仍有驚人數量的存儲系統易受這種攻擊。

關鍵詞：SQL；SQL注射；網絡數據庫

中圖分類號：TP311.1 文獻標識碼：A 文章編號：1674-7712 （2013） 22-0000-01

隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。由于部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行檢查和判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些想得知的數據，這就是SQL Injection，即SQL注射，SQL注射已經成為影響網絡數據庫安全的一大隱患。

SQL注射是從正常的WWW端口訪問，表面看來和一般Web頁面訪問沒什么區別，不會引起防火墻的懷疑。如果網站管理員沒有查看日志習慣的話，就更不容易發現SQL注射了。SQL注射的手法相當靈活，在注入的時候會碰到很多意外的情況。本文介紹一些SQL注射方法和防范方法。

目前，國內網站用ASP+Access或ASP+SQLServer的占70%以上，PHP+MySQL的占20%，其他的不足10%。一個簡單SQL注射的例子：

假設有這樣一個網址：http：//www.abcd.com/showdetail.asp？id=18，如果在這個地址后面鍵入一個單引號“'”，即變成http：//www.abcd.com/showdetail.asp？id=18'，回車后會發現：頁面有如下提示：Microsoft JET Database Engine錯誤'80040e14'字符串的語法錯誤在查詢表達式“ID=18'”中/showdetail.asp，行8。從這個錯誤提示能看出下面幾點：

（1）網站使用的是Access數據庫，通過JET引擎連接數據庫，而不是通過ODBC。

（2）程序沒有判斷客戶端提交的數據是否符合程序要求。

（3）該SQL語句所查詢的表中有一名為ID的字段。

上面所說的是SQL注射最簡單的一種，即直接在URL地址后面加上一個單引號。

此方法通常不能成功，不一定每臺服務器IIS都返回具體錯誤提示給客戶端，如果程序中加了cint參數語句的話，SQL注射不會成功，服務器會報錯，具體提示信息為“處理URL時服務器上出錯，請和系統管理員聯絡。”另外原因是部分對SQL注射有一點了解的程序員，會把單引號過濾掉，如果用單引號測試，是測不到注射點的。

下面列出三個地址：

（1）http：//www.abcd.com/showdetail.asp？ id=18

（2）http：//www.abcd.com/showdetail.asp？ id=18；and 1=1

（3）http：//www.abcd.com/showdetail.asp？ id=18；and 1=2

大家能夠看到，三句之間的區別就在于第二句多了“and 1=1”，第三句多了“and 1=2”，其中1=1是一個真命題，永遠為True，邏輯上為1；1=2則是一個假命題，永遠為False，邏輯上為0。這種方法非常經典，其原理是數理邏輯中關于命題的闡述。

（1）和（2）都能夠正常顯示，但是（3）會報錯（提示BOF或EOF、或提示找不到記錄、或顯示內容為空）。如何判斷網絡數據庫的類型。

ASP最常搭配的數據庫是Access和SQL Server。具體如何判斷數據庫到底是Access還是SQL Server呢？

SQL Server有一些系統變量，如果服務器IIS提示沒關閉，并且SQL Server返回錯誤提示的話，那可以直接從出錯信息獲取，方法如下：

http：//www.abcd.com/showdetail.asp？ id=18； anduser>0

這句簡單語句包含了SQL Server特有SQL注 射方法，其效率極高。它的含義：前面的語句是正常的，重點在“and user>0”，我們知道，user是SQL Server的一個內置變量，它的值是當前連接的用戶名，類型為nvarchar。拿一個nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉換過程中肯定會出錯。

提示是：將nvarchar值“visitor1”轉換數據類型為int的列時發生語法錯誤，visitor正是變量user的值，不廢力就拿到了數據庫的用戶名。如果提示的不是“visitor1”，而是sa，那么就拿到了SQL Server數據庫的管理員權限，因為在SQL Server中，sa就相當于administrator。

如果IIS設置成不返回錯誤，那么這個方法就無法獲得錯誤提示，下面在從SQL Server和Access的區別來探討這個問題。

SQL Server和Access都有自己的系統表，比如存放數據庫中所有對象的表，Access是在系統表[msysobjects]中，但在Web環境下讀該表會提示“沒有權限”，SQLServer是在表[sysobjects]中，在Web環境下可正常讀取。

針對SQL Server和Access，列出下面兩個地址：

（1） http：//www.abcd.com/showdetail.asp？id=18；and （select count（*） from sysobjects）>0

（2） http：//www.abcd.com/showdetail.asp？ id=18；and （select count（*） from msysobjects）>0

如果數據庫是SQLServer，那么第一個網址的頁面與原頁面http：//www.abcd.com/showdetail.asp？ id=18是大致相同的；而第二個網址，由于找不到表msysobjects會提示出錯。

如果數據庫是Access，那么第一個網址的頁面會報錯；第二個網址，則視數據庫設置是否允許讀該系統表，一般來說是不允許的，所以與http：//www.abcd.com/showdetail.asp？ id=18也是完全不同。所以，通過這兩個網址，就能夠方便地得知系統所用的數據庫類型。

下面對SQL注射中使用的參數進行分析：（1）http：//www.abcd.com/showdetail.asp？id=18中，“ID=18”的參數是數字類型，對應的SQL語句大致如下：Select column_name from table_name where字段=18。可以進行如下注射：將ID =18后面加上“And查詢條件”，其對應的SQL語句為：Select column_name from table_name where字段=49And查詢條件。（2）http：//www.abcd.com/showdetail.asp？type=car，“type=car”的參數是字符型，對應的SQL語句大致如下：Select column_name from table_name where字段='car'。可以進行如下注射：將type=car后面加上“and查詢條件and' '=''”，其對應的SQL語句為：Select * from表名where字段='連續劇'and [查詢條件] and ' '=' '。（3）有的網站在處理搜索時，能夠過濾關鍵字，其URL地址顯示為http：//www.efgh.com/search.asp，但有的網站并沒有過濾參數，URL地址后面會顯示“keyword=關鍵字”之類的，那么其對應的SQL語句大致如下：

Select column_name from table_ name where字段like' %關鍵字%'

注入的參數為keyword=' and [查詢條件] and ' %25'=' ，即是生成語句：

Select * from表名where字段like ' %' and [查詢條件] and ' %' =' %'

下面介紹另外一種SQL注射的方法。通過聯合查詢插入UNION SELECT來繞過網絡程序查詢數據，得到其它數據，聯合查詢允許在一條語句中使用多個SELECT查詢，就像這樣：

SELECT CompanyName FROM Shippers WHERE 1 = 1 UNION ALL SELECT CompanyName FROM Customers WHERE 1 = 1

它返回結果中包含了第一個查詢和第二個查詢結果，\"ALL SELECT\"這里的ALL是必須的，可逃過SELECT DISTINCT語句的限制。須確認第一個查詢，即web應用程序編寫者希望執行的那個被執行，不返回任何記錄。

如何解決SQL注射問題呢？一要了解SQL注射的根本原因。SQL注射多發生在ASP+SQL Server上，因為很多服務器都允許SQL多語句一次執行，就是類似：asp？ id=123； use master；execxp_cmdshell。應當將其禁止。要設置好數據庫權限，另外可以將管理員用戶名sa改掉。三要對輸入的語句設置過濾。

參考文獻：

[1]沈海峰.SQL與網絡數據庫的安全[D].湖北職業技術學院，2007.