SQL 注入是一種攻擊方式，在這種攻擊方式中，惡意代碼被插入到字符串中，然后將該字符串傳遞到 SQL Server 的實(shí)例以進(jìn)行分析和執(zhí)行。任何構(gòu)成 SQL 語(yǔ)句的過(guò)程都應(yīng)進(jìn)行注入漏洞檢查，因?yàn)?SQL Server 將執(zhí)行其接收到的所有語(yǔ)法有效的查詢。一個(gè)有經(jīng)驗(yàn)的、堅(jiān)定的攻擊者甚至可以操作參數(shù)化數(shù)據(jù)。

SQL 注入的主要形式包括直接將代碼插入到與 SQL 命令串聯(lián)在一起并使其得以執(zhí)行的用戶輸入變量。一種間接的攻擊會(huì)將惡意代碼注入要在表中存儲(chǔ)或作為元數(shù)據(jù)存儲(chǔ)的字符串。在存儲(chǔ)的字符串隨后串連到一個(gè)動(dòng)態(tài) SQL 命令中時(shí)，將執(zhí)行該惡意代碼。

注入過(guò)程的工作方式是提前終止文本字符串，然后追加一個(gè)新的命令。由于插入的命令可能在執(zhí)行前追加其他字符串，因此攻擊者將用注釋標(biāo)記“--”來(lái)終止注入的字符串。執(zhí)行時(shí)，此后的文本將被忽略。

以下腳本顯示了一個(gè)簡(jiǎn)單的 SQL 注入。此腳本通過(guò)串聯(lián)硬編碼字符串和用戶輸入的字符串而生成一個(gè) SQL 查詢：

var Shipcity;  
ShipCity = Request.form ("ShipCity");  
var sql = "select * from OrdersTable where ShipCity = '" + ShipCity + "'"; 

用戶將被提示輸入一個(gè)市縣名稱。如果用戶輸入 Redmond，則查詢將由與下面內(nèi)容相似的腳本組成：

SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond' 

但是，假定用戶輸入以下內(nèi)容：

Redmond'; drop table OrdersTable--

此時(shí)，腳本將組成以下查詢：

SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--' 

分號(hào) (;) 表示一個(gè)查詢的結(jié)束和另一個(gè)查詢的開始。雙連字符 (--) 指示當(dāng)前行余下的部分是一個(gè)注釋，應(yīng)該忽略。如果修改后的代碼語(yǔ)法正確，則服務(wù)器將執(zhí)行該代碼。SQL Server 處理該語(yǔ)句時(shí)，SQL Server 將首先選擇 OrdersTable 中的所有記錄（其中 ShipCity 為 Redmond）。然后，SQL Server 將刪除 OrdersTable。

只要注入的 SQL 代碼語(yǔ)法正確，便無(wú)法采用編程方式來(lái)檢測(cè)篡改。因此，必須驗(yàn)證所有用戶輸入，并仔細(xì)檢查在您所用的服務(wù)器中執(zhí)行構(gòu)造 SQL 命令的代碼。本主題中的以下各部分說(shuō)明了編寫代碼的最佳做法。

驗(yàn)證所有輸入

始終通過(guò)測(cè)試類型、長(zhǎng)度、格式和范圍來(lái)驗(yàn)證用戶輸入。實(shí)現(xiàn)對(duì)惡意輸入的預(yù)防時(shí)，請(qǐng)注意應(yīng)用程序的體系結(jié)構(gòu)和部署方案。請(qǐng)注意，設(shè)計(jì)為在安全環(huán)境中運(yùn)行的程序可能會(huì)被復(fù)制到不安全的環(huán)境中。以下建議應(yīng)被視為最佳做法：

對(duì)應(yīng)用程序接收的數(shù)據(jù)不做任何有關(guān)大小、類型或內(nèi)容的假設(shè)。例如，您應(yīng)該進(jìn)行以下評(píng)估：

如果一個(gè)用戶在需要郵政編碼的位置無(wú)意中或惡意地輸入了一個(gè) 10 MB 的 MPEG 文件，應(yīng)用程序會(huì)做出什么反應(yīng)？

如果在文本字段中嵌入了一個(gè) DROP TABLE 語(yǔ)句，應(yīng)用程序會(huì)做出什么反應(yīng)？

測(cè)試輸入的大小和數(shù)據(jù)類型，強(qiáng)制執(zhí)行適當(dāng)?shù)南拗啤＿@有助于防止有意造成的緩沖區(qū)溢出。

測(cè)試字符串變量的內(nèi)容，只接受所需的值。拒絕包含二進(jìn)制數(shù)據(jù)、轉(zhuǎn)義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入，防止某些緩沖區(qū)溢出攻擊。

使用 XML 文檔時(shí)，根據(jù)數(shù)據(jù)的架構(gòu)對(duì)輸入的所有數(shù)據(jù)進(jìn)行驗(yàn)證。

絕不直接使用用戶輸入內(nèi)容來(lái)生成 Transact-SQL 語(yǔ)句。

使用存儲(chǔ)過(guò)程來(lái)驗(yàn)證用戶輸入。

在多層環(huán)境中，所有數(shù)據(jù)都應(yīng)該在驗(yàn)證之后才允許進(jìn)入可信區(qū)域。未通過(guò)驗(yàn)證過(guò)程的數(shù)據(jù)應(yīng)被拒絕，并向前一層返回一個(gè)錯(cuò)誤。

實(shí)現(xiàn)多層驗(yàn)證。對(duì)無(wú)目的的惡意用戶采取的預(yù)防措施對(duì)堅(jiān)定的攻擊者可能無(wú)效。更好的做法是在用戶界面和所有跨信任邊界的后續(xù)點(diǎn)上驗(yàn)證輸入。

例如，在客戶端應(yīng)用程序中驗(yàn)證數(shù)據(jù)可以防止簡(jiǎn)單的腳本注入。但是，如果下一層認(rèn)為其輸入已通過(guò)驗(yàn)證，則任何可以繞過(guò)客戶端的惡意用戶就可以不受限制地訪問(wèn)系統(tǒng)。

絕不串聯(lián)未驗(yàn)證的用戶輸入。字符串串聯(lián)是腳本注入的主要輸入點(diǎn)。

在可能據(jù)以構(gòu)造文件名的字段中，不接受下列字符串：AUX、CLOCK$、COM1 到 COM8、CON、CONFIG$、LPT1 到 LPT8、NUL 以及 PRN。

如果可能，拒絕包含以下字符的輸入。

輸入字符
 在 Transact-SQL 中的含義
 
;
 查詢分隔符。
 
'
 字符數(shù)據(jù)字符串分隔符。
 
--
 注釋分隔符。
 
/* ... */
 注釋分隔符。服務(wù)器不對(duì) /* 和 */ 之間的注釋進(jìn)行處理。
 
xp_
 用于目錄擴(kuò)展存儲(chǔ)過(guò)程的名稱的開頭，如 xp_cmdshell。
 

使用類型安全的 SQL 參數(shù)
SQL Server 中的 Parameters 集合提供了類型檢查和長(zhǎng)度驗(yàn)證。如果使用 Parameters 集合，則輸入將被視為文字值而不是可執(zhí)行代碼。使用 Parameters 集合的另一個(gè)好處是可以強(qiáng)制執(zhí)行類型和長(zhǎng)度檢查。范圍以外的值將觸發(fā)異常。以下代碼段顯示了如何使用 Parameters 集合：

SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin", conn);  
myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;  
SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",  
     SqlDbType.VarChar, 11);  
parm.Value = Login.Text; 

在此示例中，@au_id 參數(shù)被視為文字值而不是可執(zhí)行代碼。將對(duì)此值進(jìn)行類型和長(zhǎng)度檢查。如果 @au_id 值不符合指定的類型和長(zhǎng)度約束，則將引發(fā)異常。

在存儲(chǔ)過(guò)程中使用參數(shù)化輸入
存儲(chǔ)過(guò)程如果使用未篩選的輸入，則可能容易受 SQL Injection 攻擊。例如，以下代碼容易受到攻擊：

SqlDataAdapter myCommand =   
new SqlDataAdapter("LoginStoredProcedure '" +   
                               Login.Text + "'", conn); 

如果使用存儲(chǔ)過(guò)程，則應(yīng)使用參數(shù)作為存儲(chǔ)過(guò)程的輸入。

在動(dòng)態(tài) SQL 中使用參數(shù)集合

如果不能使用存儲(chǔ)過(guò)程，您仍可使用參數(shù)，如以下代碼示例所示：

SqlDataAdapter myCommand = new SqlDataAdapter(  
"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id", conn);  
SQLParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",   
                        SqlDbType.VarChar, 11);  
Parm.Value = Login.Text; 

篩選輸入
篩選輸入可以刪除轉(zhuǎn)義符，這也可能有助于防止 SQL 注入。但由于可引起問(wèn)題的字符數(shù)量很大，因此這并不是一種可靠的防護(hù)方法。以下示例可搜索字符串分隔符。

復(fù)制代碼
private string SafeSqlLiteral(string inputSQL)
{
  return inputSQL.Replace("'", "''");
}
LIKE 子句
請(qǐng)注意，如果要使用 LIKE 子句，還必須對(duì)通配符字符進(jìn)行轉(zhuǎn)義：

復(fù)制代碼
s = s.Replace("[", "[[]");
s = s.Replace("%", "[%]");
s = s.Replace("_", "[_]");
  在代碼中檢查 SQL 注入
應(yīng)檢查所有調(diào)用 EXECUTE、EXEC 或 sp_executesql 的代碼。可以使用類似如下的查詢來(lái)幫助您標(biāo)識(shí)包含這些語(yǔ)句的過(guò)程。此查詢檢查單詞 EXECUTE 或 EXEC 后是否存在 1 個(gè)、2 個(gè)、3 個(gè)或 4 個(gè)空格。

SELECT object_Name(id) FROM syscomments  
WHERE UPPER(text) LIKE '%EXECUTE (%' 
OR UPPER(text) LIKE '%EXECUTE  (%' 
OR UPPER(text) LIKE '%EXECUTE   (%' 
OR UPPER(text) LIKE '%EXECUTE    (%' 
OR UPPER(text) LIKE '%EXEC (%' 
OR UPPER(text) LIKE '%EXEC  (%' 
OR UPPER(text) LIKE '%EXEC   (%' 
OR UPPER(text) LIKE '%EXEC    (%' 
OR UPPER(text) LIKE '%SP_EXECUTESQL%' 

使用 QUOTENAME() 和 REPLACE() 包裝參數(shù)

在選擇的每個(gè)存儲(chǔ)過(guò)程中，驗(yàn)證是否對(duì)動(dòng)態(tài) Transact-SQL 中使用的所有變量都進(jìn)行了正確處理。來(lái)自存儲(chǔ)過(guò)程的輸入?yún)?shù)的數(shù)據(jù)或從表中讀取的數(shù)據(jù)應(yīng)包裝在 QUOTENAME() 或 REPLACE() 中。請(qǐng)記住，傳遞給 QUOTENAME() 的 @variable 值的數(shù)據(jù)類型為 sysname，且最大長(zhǎng)度為 128 個(gè)字符。

@variable
 建議的包裝
 
安全對(duì)象的名稱
 QUOTENAME(@variable)
 
字符串 ≤ 128 個(gè)字符
 QUOTENAME(@variable, '''')
 
字符串 > 128 個(gè)字符
 REPLACE(@variable,'''', '''''')
 

使用此方法時(shí)，可對(duì) SET 語(yǔ)句進(jìn)行如下修改：

--Before:

SET @temp = N'select * from authors where au_lname='''

+ @au_lname + N''''

--After:

SET @temp = N'select * from authors where au_lname='''

+ REPLACE(@au_lname,'''','''''') + N''''

由數(shù)據(jù)截?cái)鄦⒂玫淖⑷?br /> 如果分配給變量的任何動(dòng)態(tài) Transact-SQL 比為該變量分配的緩沖區(qū)大，那么它將被截?cái)唷Ｈ绻粽吣軌蛲ㄟ^(guò)將意外長(zhǎng)度的字符串傳遞給存儲(chǔ)過(guò)程來(lái)強(qiáng)制執(zhí)行語(yǔ)句截?cái)啵瑒t該攻擊者可以操作該結(jié)果。例如，以下腳本創(chuàng)建的存儲(chǔ)過(guò)程容易受到由截?cái)鄦⒂玫淖⑷牍簟?/p>

CREATE PROCEDURE sp_MySetPassword  
@loginname sysname,  
@old sysname,  
@new sysname  
AS 
-- Declare variable.  
-- Note that the buffer here is only 200 characters long.  
DECLARE @command varchar(200)  
-- Construct the dynamic Transact-SQL.  
-- In the following statement, we need a total of 154 characters  
-- to set the password of 'sa'.  
-- 26 for UPDATE statement, 16 for WHERE clause, 4 for 'sa', and 2 for  
-- quotation marks surrounded by QUOTENAME(@loginname):  
-- 200 – 26 – 16 – 4 – 2 = 154.  
-- But because @new is declared as a sysname, this variable can only hold  
-- 128 characters.  
-- We can overcome this by passing some single quotation marks in @new.  
SET @command= 'update Users set password=' + QUOTENAME(@new, '''') + ' where username=' + QUOTENAME(@loginname, '''') + ' AND password = ' + QUOTENAME(@old, '''')  
-- Execute the command.  
EXEC (@command)  
GO 

通過(guò)向 128 個(gè)字符的緩沖區(qū)傳遞 154 個(gè)字符，攻擊者便可以在不知道舊密碼的情況下為 sa 設(shè)置新密碼。

EXEC sp_MySetPassword 'sa', 'dummy', '123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012'''''''''''''''''''''''''''''''''''''''''''''''''''

因此，應(yīng)對(duì)命令變量使用較大的緩沖區(qū)，或直接在 EXECUTE 語(yǔ)句內(nèi)執(zhí)行動(dòng)態(tài) Transact-SQL。

使用 QUOTENAME(@variable, '''') 和 REPLACE() 時(shí)的截?cái)?br /> 如果 QUOTENAME() 和 REPLACE() 返回的字符串超過(guò)了分配的空間，該字符串將被自動(dòng)截?cái)唷Ｒ韵率纠袆?chuàng)建的存儲(chǔ)過(guò)程顯示了可能出現(xiàn)的情況。

CREATE PROCEDURE sp_MySetPassword  
@loginname sysname,  
@old sysname,  
@new sysname  
AS 
-- Declare variables.  
DECLARE @login sysname  
DECLARE @newpassword sysname  
DECLARE @oldpassword sysname  
DECLARE @command varchar(2000)  
-- In the following statements, the data stored in temp variables  
-- will be truncated because the buffer size of @login, @oldpassword,  
-- and @newpassword is only 128 characters, but QUOTENAME() can return  
-- up to 258 characters.  
SET @login = QUOTENAME(@loginname, '''')  
SET @oldpassword = QUOTENAME(@old, '''')  
SET @newpassword = QUOTENAME(@new, '''')  
-- Construct the dynamic Transact-SQL.  
-- If @new contains 128 characters, then @newpassword will be '123... n  
-- where n is the 127th character.  
-- Because the string returned by QUOTENAME() will be truncated,  
-- it can be made to look like the following statement:  
-- UPDATE Users SET password ='1234. . .[127] WHERE username=' -- other stuff here  
SET @command = 'UPDATE Users set password = ' + @newpassword  
+ ' where username =' + @login + ' AND password = ' + @oldpassword;  
-- Execute the command.  
EXEC (@command)  
GO 

因此，以下語(yǔ)句將把所有用戶的密碼都設(shè)置為在前面的代碼中傳遞的值。

EXEC sp_MyProc '--', 'dummy', '12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678'

使用 REPLACE() 時(shí)，可以通過(guò)超出分配的緩沖區(qū)空間來(lái)強(qiáng)迫字符串截?cái)唷Ｒ韵率纠袆?chuàng)建的存儲(chǔ)過(guò)程顯示了可能出現(xiàn)的情況。

CREATE PROCEDURE sp_MySetPassword  
@loginname sysname,  
@old sysname,  
@new sysname  
AS 
-- Declare variables.  
DECLARE @login sysname  
DECLARE @newpassword sysname  
DECLARE @oldpassword sysname  
DECLARE @command varchar(2000)  
-- In the following statements, data will be truncated because  
-- the buffers allocated for @login, @oldpassword and @newpassword  
-- can hold only 128 characters, but QUOTENAME() can return  
-- up to 258 characters.  
SET @login = REPLACE(@loginname, '''', '''''')  
SET @oldpassword = REPLACE(@old, '''', '''''')  
SET @newpassword = REPLACE(@new, '''', '''''')  
-- Construct the dynamic Transact-SQL.  
-- If @new contains 128 characters, @newpassword will be '123...n  
-- where n is the 127th character.  
-- Because the string returned by QUOTENAME() will be truncated, it  
-- can be made to look like the following statement:  
 
-- UPDATE Users SET password='1234…[127] WHERE username=' -- other stuff here  
SET @command= 'update Users set password = ''' + @newpassword + ''' where username=''' 
+ @login + ''' AND password = ''' + @oldpassword + '''';  
-- Execute the command.  
EXEC (@command)  
GO 

與 QUOTENAME() 一樣，可以通過(guò)聲明對(duì)所有情況都足夠大的臨時(shí)變量來(lái)避免由 REPLACE() 引起的字符串截?cái)唷?yīng)盡可能直接在動(dòng)態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME() 或 REPLACE()。或者，也可以按如下方式計(jì)算所需的緩沖區(qū)大小。對(duì)于 @outbuffer = QUOTENAME(@input)，@outbuffer 的大小應(yīng)為 2*(len(@input)+1). 。使用 REPLACE() 和雙引號(hào)時(shí)（如上一示例），大小為 2*len(@input) 的緩沖區(qū)便已足夠。

以下計(jì)算涵蓋所有情況：

While len(@find_string) > 0, required buffer size =

round(len(@input)/len(@find_string),0) * len(@new_string)

+ (len(@input) % len(@find_string))

使用 QUOTENAME(@variable, ']') 時(shí)的截?cái)?br /> 當(dāng) SQL Server 安全對(duì)象的名稱被傳遞給使用 QUOTENAME(@variable, ']') 形式的語(yǔ)句時(shí)，可能發(fā)生截?cái)唷Ｏ旅娴氖纠@示了這種情況。

CREATE PROCEDURE sp_MyProc  
@schemaname sysname,  
@tablename sysname,  
AS 
-- Declare a variable as sysname. The variable will be 128 characters.  
-- But @objectname actually must allow for 2*258+1 characters.  
DECLARE @objectname sysname  
SET @objectname = QUOTENAME(@schemaname)+'.'+ QUOTENAME(@tablename)  
-- Do some operations.  
GO 

當(dāng)您串聯(lián) sysname 類型的值時(shí)，應(yīng)使用足夠大的臨時(shí)變量來(lái)保存每個(gè)值的最多 128 個(gè)字符。應(yīng)盡可能直接在動(dòng)態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME()。或者，也可以按上一部分所述來(lái)計(jì)算所需的緩沖區(qū)大小。

原文地址

本文來(lái)源：微軟TechNet中文站