首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 数据库 > SQL Server >

SQL流入及预防

2013-06-25 
SQL注入及预防SQL注入原理以往Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根

SQL注入及预防
SQL注入原理
以往Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询:

string sql = "select * from user where UserName = ‘” + userName + “’ and Password = ‘” + password + “’”;

其中userName和password两个变量的值是由用户输入的。假设password的值是“’’ or ‘’ = ‘’”,userName的值任意,那变量sql的 值就是:
"select * from user where UserName = ‘user’ and Password = ‘’ or ‘’ = ‘’;

因 ’’ =’’ 恒为真,因此只要User表中有数据,不管UserName、Password的值是否匹配,这条SQL命令都能查出记录来。

预防措施-参数化查询
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的防御方式。
在使用参数化查询的情况下,数据库服务器不会将参数化的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行。因此即使参数中含恶意指令,因已编译完成,就不会被数据库所运行。

带参数的SQL指令
1)Microsoft SQL Server
Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称,也支持匿名参数 "?"。
select * from user where sex=@sexinsert  into  user(c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)

2)Microsoft Access
Microsoft Access 只支持匿名参数 "?"。
update  user  set c1 = ?, c2 = ?, c3 = ? where c4 = ?

3)MySQL
MySQL 的参数格式是以 "?" 字符加上参数名称而成。
update  user  set c1 = ?c1, c2 = ?c2, c3 = ?c3 where c4 = ?c4

备注:匿名参数“?”,在给参数赋值时一定要按顺序赋值,否则可能执行出错。

客户端程序
1)ADO.NET示例
要查找user表中的男性用户,SQL语句是这样:
select * from user where sex=1

用参数化SQL语句表示为: 
select * from user where sex=@sex

对SQL语句中的参数赋值,假如我们要查找user表中所有年龄大于30岁的男性用户,这个参数化SQL语句可以这么写:
select * from user where sex=@sex and age>@age


//实例化Connection对象SqlConnection connect =newSqlConnection("server=localhost;database=test;uid=root;pwd=''");//实例化Command对象SqlCommand command =newSqlCommand("select * from user where sex=@sex and age>@age", connect);//第一种添加查询参数的例子 command.Parameters.AddWithValue("@sex",true);//第二种添加查询参数的例子 SqlParameter parameter =newSqlParameter("@age", SqlDbType.Int);//User表age字段是int型parameter.Value = 30; command.Parameters.Add(parameter);//添加参数//将查询结果集以DataTable的方式返回//实例化DataAdapterSqlDataAdapter adapter =newSqlDataAdapter(command); DataTable data =newDataTable();

2)PHP
$sex = ‘男’;$age = ‘27’;$query = sprintf("select * from user where sex='%s' and age>'%d'",mysql_real_escape_string($sex),mysql_real_escape_string($age));mysql_query($query);或者:$db = new mysqli("localhost", "user", "pass", "database");$stmt = $mysqli -> prepare("select * from user where sex=? and age>?");$stmt -> bind_param("sd", $sex, $age);$sex = ‘男’;$age = ‘27’;$stmt -> execute();

3)JDBC
PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?");prep.setString(1, username);prep.setString(2, password);

读书人精选
热点排行