• 关于防止sql注入的几种手段


     

     

    其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以防止注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧

     一  存储过程参数化能解决绝大部分的注入问题。存储过程之所以能够解决绝大部分的注入问题,是因为mssql的机制,它认为你的是参数就是参数不能够解析为可执行的sql。但是这仅仅能解决绝大部分问题
     

    二   当需要在proc里面动态拼凑sql,使用类似exec,sp_executesql的时候,一定要使用后者,虽然两者都是传递一个字符串,这个字符串作为sql语句执行,但是后者提供为sql语句提供参数的功能,使得被执行的sql语句参数化,而防止注入,前者如果使用传入的参数来拼凑sql,则参数就会间接转换成sql语句而导致注入。

    第二条或许应该再补充一下,在mysql里,也有类似的执行动态语句的,就是PREPARE+execute,这个的使用和mssql里的sp_executesql功效相同,也能够带参数,防止动态sql语句注入。

     sql语句如下:
    --TOP n 实现的通用分页存储过程(转自邹建)
    CREATE PROC sp_PageView
    @tbname     sysname,               --要分页显示的表名
    @FieldKey   nvarchar(1000),      --用于定位记录的主键(惟一键)字段,可以是逗号分隔的多个字段
    @PageCurrent int=1,               --要显示的页码
    @PageSize   int=10,                --每页的大小(记录数)
    @FieldShow nvarchar(1000)='',      --以逗号分隔的要显示的字段列表,如果不指定,则显示所有字段
    @FieldOrder nvarchar(1000)='',      --以逗号分隔的排序字段列表,可以指定在字段后面指定DESC/ASC
                                              用于指定排序顺序
    @Where    nvarchar(1000)='',     --查询条件
    @PageCount int OUTPUT             --总页数
    AS
    SET NOCOUNT ON
    --检查对象是否有效
    IF OBJECT_ID(@tbnameIS NULL
    BEGIN
        
    RAISERROR(N'对象"%s"不存在',1,16,@tbname)
        
    RETURN
    END
    IF OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsTable')=0
        
    AND OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsView')=0
        
    AND OBJECTPROPERTY(OBJECT_ID(@tbname),N'IsTableFunction')=0
    BEGIN
        
    RAISERROR(N'"%s"不是表、视图或者表值函数',1,16,@tbname)
        
    RETURN
    END

    --分页字段检查
    IF ISNULL(@FieldKey,N'')=''
    BEGIN
        
    RAISERROR(N'分页处理需要主键(或者惟一键)',1,16)
        
    RETURN
    END

    --其他参数检查及规范
    IF ISNULL(@PageCurrent,0)<1 SET @PageCurrent=1
    IF ISNULL(@PageSize,0)<1 SET @PageSize=10
    IF ISNULL(@FieldShow,N'')=N'' SET @FieldShow=N'*'
    IF ISNULL(@FieldOrder,N'')=N''
        
    SET @FieldOrder=N''
    ELSE
        
    SET @FieldOrder=N'ORDER BY '+LTRIM(@FieldOrder)
    IF ISNULL(@Where,N'')=N''
        
    SET @Where=N''
    ELSE
        
    SET @Where=N'WHERE ('+@Where+N')'

    --如果@PageCount为NULL值,则计算总页数(这样设计可以只在第一次计算总页数,以后调用时,把总页数传回给存储过程,避免再次计算总页数,对于不想计算总页数的处理而言,可以给@PageCount赋值)
    IF @PageCount IS NULL
    BEGIN
        
    DECLARE @sql nvarchar(4000)
        
    SET @sql=N'SELECT @PageCount=COUNT(*)'
            
    +N' FROM '+@tbname
            
    +N' '+@Where
        
    EXEC sp_executesql @sql,N'@PageCount int OUTPUT',@PageCount OUTPUT
        
    SET @PageCount=(@PageCount+@PageSize-1)/@PageSize
    END

    --计算分页显示的TOPN值
    DECLARE @TopN varchar(20),@TopN1 varchar(20)
    SELECT @TopN=@PageSize,
        
    @TopN1=(@PageCurrent-1)*@PageSize

    --第一页直接显示
    IF @PageCurrent=1
        
    EXEC(N'SELECT TOP '+@TopN
            
    +N' '+@FieldShow
            
    +N' FROM '+@tbname
            
    +N' '+@Where
            
    +N' '+@FieldOrder)
    ELSE
    BEGIN
        
    --处理别名
        IF @FieldShow=N'*'
            
    SET @FieldShow=N'a.*'

        
    --生成主键(惟一键)处理条件
        DECLARE @Where1 nvarchar(4000),@Where2 nvarchar(4000),
            
    @s nvarchar(1000),@Field sysname
        
    SELECT @Where1=N'',@Where2=N'',@s=@FieldKey
        
    WHILE CHARINDEX(N',',@s)>0
            
    SELECT @Field=LEFT(@s,CHARINDEX(N',',@s)-1),
                
    @s=STUFF(@s,1,CHARINDEX(N',',@s),N''),
                
    @Where1=@Where1+N' AND a.'+@Field+N'=b.'+@Field,
                
    @Where2=@Where2+N' AND b.'+@Field+N' IS NULL',
                
    @Where=REPLACE(@Where,@Field,N'a.'+@Field),
                
    @FieldOrder=REPLACE(@FieldOrder,@Field,N'a.'+@Field),
                
    @FieldShow=REPLACE(@FieldShow,@Field,N'a.'+@Field)
        
    SELECT @Where=REPLACE(@Where,@s,N'a.'+@s),
            
    @FieldOrder=REPLACE(@FieldOrder,@s,N'a.'+@s),
            
    @FieldShow=REPLACE(@FieldShow,@s,N'a.'+@s),
            
    @Where1=STUFF(@Where1+N' AND a.'+@s+N'=b.'+@s,1,5,N''),    
            
    @Where2=CASE
                
    WHEN @Where='' THEN N'WHERE ('
                
    ELSE @Where+N' AND ('
                
    END+N'b.'+@s+N' IS NULL'+@Where2+N')'

        
    --执行查询
        EXEC(N'SELECT TOP '+@TopN
            
    +N' '+@FieldShow
            
    +N' FROM '+@tbname
            
    +N' a LEFT JOIN(SELECT TOP '+@TopN1
            
    +N' '+@FieldKey
            
    +N' FROM '+@tbname
            
    +N' a '+@Where
            
    +N' '+@FieldOrder
            
    +N')b ON '+@Where1
            
    +N' '+@Where2
            
    +N' '+@FieldOrder)
    END

     这个是转自邹健大哥的,邹健想必大家都认识,让我们来试一下他的通用存储过程:

    exec sp_PageView 'article','articleid',1,10,'subject,articleid',' articleid desc;select 1 as ''ok''; ','', null 

    看看返回什么吧:

     

    注入成功!
     

    那这个到底怎么回事呢???

    邹健大哥的通用存储过程都存在漏洞吗?

    到底什么样的写法才不会被注入呢?太恐怖了

  • 相关阅读:
    has already been called for this response
    Mysql Innodb的两种表空间方式
    针对MyISAM表锁的解决方案
    MySQL数据库表修复--MyISAM
    如何修复损坏的MySQL数据表[转]
    MySQL大量unauthenticated user
    Linux基本命令篇 进程管理
    Linux 知识点滴
    Linux基本命令篇 用户管理
    Linux基本命令篇 文件管理
  • 原文地址:https://www.cnblogs.com/kakaliush/p/1648997.html
Copyright © 2020-2023  润新知