ASP.NET如何防範SQL注入式攻擊

⑴ 某個ASP.NET Web應用有一個登入頁面，這個登入頁面控制着使用者是否有權通路應用，它要求使用者輸入一個名稱和密碼。 　　⑵ 登入頁面中輸入的内容将直接用來構造動态的SQL指令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子： 　　System.Text.StringBuilder query = new System.Text.StringBuilder( 　　SELECT * from Users WHERE login = ) 　　.Append(txtLogin.Text).Append( AND password=) 　　.Append(txtPassword.Text).Append(); 　　⑶ 攻擊者在使用者名字和密碼輸入框中輸入或1=1之類的内容。 　　⑷ 使用者輸入的内容送出給伺服器之後，伺服器運作上面的ASP.NET代碼構造出查詢使用者的SQL指令，但由于攻擊者輸入的内容非常特殊，是以最後得到的SQL指令變成：SELECT * from Users WHERE login = or 1=1 AND password = or 1=1。 　　⑸ 伺服器執行查詢或存儲過程，将使用者輸入的身份資訊和伺服器中儲存的身份資訊進行對比。 　　⑹ 由于SQL指令實際上已被注入式攻擊修改，已經不能真正驗證使用者身份，是以系統會錯誤地授權給攻擊者。 　　如果攻擊者知道應用會将表單中輸入的内容直接用于驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能，欺騙系統授予通路權限。 　　系統環境不同，攻擊者可能造成的損害也不同，這主要由應用通路資料庫的安全權限決定。如果使用者的帳戶具有管理者或其他比較進階的權限，攻擊者就可能對資料庫的表執行各種他想要做的操作，包括添加、删除或更新資料，甚至可能直接删除表。 　　如何防範？ 　　好在要防止ASP.NET應用被SQL注入式攻擊闖入并不是一件特别困難的事情，隻要在利用表單輸入的内容構造SQL指令之前，把所有輸入内容過濾一番就可以了。過濾輸入内容可以按多種方式進行。 　　⑴ 對于動态構造SQL查詢的場合，可以使用下面的技術： 　　第一：替換單引号，即把所有單獨出現的單引号改成兩個單引号，防止攻擊者修改SQL指令的含義。再來看前面的例子，“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”顯然會得到與“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”不同的結果。 　　第二：删除使用者輸入内容中的所有連字元，防止攻擊者構造出類如“SELECT * from Users WHERE login = mas -- AND password =”之類的查詢，因為這類查詢的後半部分已經被注釋掉，不再有效，攻擊者隻要知道一個合法的使用者登入名稱，根本不需要知道使用者的密碼就可以順利獲得通路權限。 　　第三：對于用來執行查詢的資料庫帳戶，限制其權限。用不同的使用者帳戶執行查詢、插入、更新、删除操作。由于隔離了不同帳戶可執行的操作，因而也就防止了原本用于執行SELECT指令的地方卻被用于執行INSERT、UPDATE或DELETE指令。 　　⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式将防止攻擊者利用單引号和連字元實施攻擊。此外，它還使得資料庫權限可以限制到隻允許特定的存儲過程執行，所有的使用者輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。 　　⑶ 限制表單或查詢字元串輸入的長度。如果使用者的登入名字最多隻有10個字元，那麼不要認可表單中輸入的10個以上的字元，這将大大增加攻擊者在SQL指令中插入有害代碼的難度。 　　⑷ 檢查使用者輸入的合法性，确信輸入的内容隻包含合法的資料。資料檢查應當在用戶端和伺服器端都執行——之是以要執行伺服器端驗證，是為了彌補用戶端驗證機制脆弱的安全性。 　　在用戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接删除腳本），然後将非法内容通過修改後的表單送出給伺服器。是以，要保證驗證操作确實已經執行，唯一的辦法就是在伺服器端也執行驗證。你可以使用許多内建的驗證對象，例如RegularExpressionValidator，它們能夠自動生成驗證用的用戶端腳本，當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己建立一個。 　　⑸ 将使用者登入名稱、密碼等資料加密儲存。加密使用者輸入的資料，然後再将它與資料庫中儲存的資料比較，這相當于對使用者輸入的資料進行了“消毒”處理，使用者輸入的資料不再對資料庫有任何特殊的意義，進而也就防止了攻擊者注入SQL指令。System.Web.Security.FormsAuthentication類有一個HashPasswordForStoringInConfigFile，非常适合于對輸入資料進行消毒處理。 　　⑹ 檢查提取資料的查詢所傳回的記錄數量。如果程式隻要求傳回一個記錄，但實際傳回的記錄卻超過一行，那就當作出錯處理