服务器

怎么防止sql注入,防止sql注入的几种手段

位置:首页 > 服务器 > 服务器安全,2013-07-12
其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存...

其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧

 

 一  存储过程参数化能解决绝大部分的注入问题。存储过程之所以能够解决绝大部分的注入问题,是因为mssql的机制,它认为你的是参数就是参数不能够解析为可执行的sql。但是这仅仅能解决绝大部分问题
 

二   当需要在proc里面动态拼凑sql,使用类似exec,sp_executesql的时候,一定要使用后者,虽然两者都是传递一个字符串,这个字符串作为sql语句执行,但是后者提供为sql语句提供参数的功能,使得被执行的sql语句参数化,而防止注入,前者如果使用传入的参数来拼凑sql,则参数就会间接转换成sql语句而导致注入。

第二条或许应该再补充一下,在mysql里,也有类似的执行动态语句的,就是PREPARE+execute,这个的使用和mssql里的sp_executesql功效相同,也能够带参数,防止动态sql语句注入。

 sql语句如下:
--TOP n 实现的通用分页存储过程(转自邹建)
CREATE PROC sp_PageView
@tbname     sysname,               --要分页显示的表名
@FieldKey   nvarchar(1000),      --用于定位记录的主键(惟一键)字段,可以是逗号分隔的多个字段
@PageCurrent int=1,               --要显示的页码
@PageSize   int=10,                --每页的大小(记录数)
@FieldShow nvarchar(1000)='',      --以逗号分隔的要显示的字段列表,如果不指定,则显示所有字段
@FieldOrder nvarchar(1000)='',      --以逗号分隔的排序字段列表,可以指定在字段后面指定DESC/ASC
                                          用于指定排序顺序
@Where    nvarchar(1000)='',     --查询条件
@PageCount int OUTPUT             --总页数
AS
SET NOCOUNT ON
--检查对象是否有效
IF OBJECT_ID(@tbnameIS NULL
BEGIN
    
RAISERROR(N'对象"%s"不存在',1,16,@tbname)
    
RETURN
END
IF OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsTable')=0
    
AND OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsView')=0
    
AND OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsTableFunction')=0
BEGIN
    
RAISERROR(N'"%s"不是表、视图或者表值函数',1,16,@tbname)
    
RETURN
END

--分页字段检查
IF ISNULL(@FieldKey,N'')=''
BEGIN
    
RAISERROR(N'分页处理需要主键(或者惟一键)',1,16)
    
RETURN
END

--其他参数检查及规范
IF ISNULL(@PageCurrent,0)<1 SET @PageCurrent=1
IF ISNULL(@PageSize,0)<1 SET @PageSize=10
IF ISNULL(@FieldShow,N'')=N'' SET @FieldShow=N'*'
IF ISNULL(@FieldOrder,N'')=N''
    
SET @FieldOrder=N''
ELSE
    
SET @FieldOrder=N'ORDER BY '+LTRIM(@FieldOrder)
IF ISNULL(@Where,N'')=N''
    
SET @Where=N''
ELSE
    
SET @Where=N'WHERE ('+@Where+N')'

--如果@PageCount为NULL值,则计算总页数(这样设计可以只在第一次计算总页数,以后调用时,把总页数传回给存储过程,避免再次计算总页数,对于不想计算总页数的处理而言,可以给@PageCount赋值)
IF @PageCount IS NULL
BEGIN
    
DECLARE @sql nvarchar(4000)
    
SET @sql=N'SELECT @PageCount=COUNT(*)'
        
+N' FROM '+@tbname
        
+N' '+@Where
    
EXEC sp_executesql @sql,N'@PageCount int OUTPUT',@PageCount OUTPUT
    
SET @PageCount=(@PageCount+@PageSize-1)/@PageSize
END

--计算分页显示的TOPN值
DECLARE @TopN varchar(20),@TopN1 varchar(20)
SELECT @TopN=@PageSize,
    
@TopN1=(@PageCurrent-1)*@PageSize

--第一页直接显示
IF @PageCurrent=1
    
EXEC(N'SELECT TOP '+@TopN
        
+N' '+@FieldShow
        
+N' FROM '+@tbname
        
+N' '+@Where
        
+N' '+@FieldOrder)
ELSE
BEGIN
    
--处理别名
    IF @FieldShow=N'*'
        
SET @FieldShow=N'a.*'

    
--生成主键(惟一键)处理条件
    DECLARE @Where1 nvarchar(4000),@Where2 nvarchar(4000),
        
@s nvarchar(1000),@Field sysname
    
SELECT @Where1=N'',@Where2=N'',@s=@FieldKey
    
WHILE CHARINDEX(N',',@s)>0
        
SELECT @Field=LEFT(@s,CHARINDEX(N',',@s)-1),
            
@s=STUFF(@s,1,CHARINDEX(N',',@s),N''),
            
@Where1=@Where1+N' AND a.'+@Field+N'=b.'+@Field,
            
@Where2=@Where2+N' AND b.'+@Field+N' IS NULL',
            
@Where=REPLACE(@Where,@Field,N'a.'+@Field),
            
@FieldOrder=REPLACE(@FieldOrder,@Field,N'a.'+@Field),
            
@FieldShow=REPLACE(@FieldShow,@Field,N'a.'+@Field)
    
SELECT @Where=REPLACE(@Where,@s,N'a.'+@s),
        
@FieldOrder=REPLACE(@FieldOrder,@s,N'a.'+@s),
        
@FieldShow=REPLACE(@FieldShow,@s,N'a.'+@s),
        
@Where1=STUFF(@Where1+N' AND a.'+@s+N'=b.'+@s,1,5,N''),    
        
@Where2=CASE
            
WHEN @Where='' THEN N'WHERE ('
            
ELSE @Where+N' AND ('
            
END+N'b.'+@s+N' IS NULL'+@Where2+N')'

    
--执行查询
    EXEC(N'SELECT TOP '+@TopN
        
+N' '+@FieldShow
        
+N' FROM '+@tbname
        
+N' a LEFT JOIN(SELECT TOP '+@TopN1
        
+N' '+@FieldKey
        
+N' FROM '+@tbname
        
+N' a '+@Where
        
+N' '+@FieldOrder
        
+N')b ON '+@Where1
        
+N' '+@Where2
        
+N' '+@FieldOrder)
END

 这个是转自邹健大哥的,邹健想必大家都认识,让我们来试一下他的通用存储过程:

 

exec sp_PageView 'article','articleid',1,10,'subject,articleid',' articleid desc;select 1 as ''ok''; ','', null 

 

看看返回什么吧:

 

 

 

注入成功! 

TAGS:防止sql注入怎么防止sql注入

猜你喜欢

NewHot