关于BS架构系统,防止SQL注入攻击的思路
BS系统中,传统的注入攻击手段有很多。
最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。
但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等
对这些应用的注入攻击防不胜防。
我考虑了一个思路,供大家参考。
1 对所有网页传入的参数分三种。
a) 数字类型,用StrToInt函数处理。
b) 字符串类型,用QuotedStr函数处理。
c) 需要直接传递的参数,这是需要着重考虑的类型。
2 对所有数据库操作主要分五种,不允许程序直接执行SQL语句:
a) select 查询
b) update 更新
c) insert 新增
d) delete 删除
e) exec 执行存储过程
3 对于以上几种数据库操作的所有参数,例如select 操作中的 查询条件、排序条件等,都进行合法性校验:
a) 里面存在 "--" "/*" "*/" 的,都视为非法条件。
b) 将条件拆分为单词,如果存在以下单词:delete insert update exec execute create drop grant的,都视为非法条件。(正常的表名、字段名中不可能有上面这些关键字吧。)
c) 传入的查询条件,校验里面的括号,凡是右括号在左括号前面(不配对)的,都视为非法条件。
d) 传入的查询条件,前后加括号。
经过以上校验,应该基本可以保证参数是正常的参数,供大家参考。同时也希望大家能找出其中的漏洞,我可以进行改进^_^
[解决办法]
[解决办法]
学习!
[解决办法]
如果执行前能分析、分解sql,得出它是哪些操作命令,就能发现非预期的操作命令了
[解决办法]
传说中的斑竹出现了?
[解决办法]
学习
[解决办法]
學習.delphi做B/S 不如.net
[解决办法]
up
[解决办法]
好贴
[解决办法]
windindance已经好久没有看到身影了!
[解决办法]
up
[解决办法]
[解决办法]
我一般都用PreparedStatement,这样在一定程度上可以预防sql注入式攻击
我想知道对PreparedStatement和存储过程这两种方式怎么实施注入式攻击
[解决办法]
写的不错
[解决办法]
up
[解决办法]
不知道注入!
[解决办法]
没啥用。呵呵
[解决办法]
