參考：http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

SQL Injection：就是通過把 SQL 命令插入到 Web 表單遞交或輸入域名或頁面請求的查詢字符串，最終 達到欺騙服務器執行惡意的 SQL 命令。 具體來說，它是利用現有應用程序，將（惡意）的 SQL 命令注入到后臺數據庫引擎執行的能力，它可 以通過在 Web 表單中輸入（惡意）SQL 語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者 意圖去執行 SQL 語句。 首先讓我們了解什么時候可能發生 SQL Injection。 假設我們在瀏覽器中輸入 URL www.sample.com，由于它只是對頁面的簡單請求無需對數據庫動進行動態請 求，所以它不存在 SQL Injection，當我們輸入 www.sample.com?testid=23 時，我們在 URL 中傳遞變量 testid，并且提供值為 23，由于它是對數據庫進行動態查詢的請求（其中?testid＝23 表示數據庫查詢變 量），所以我們可以該 URL 中嵌入惡意 SQL 語句。 現在我們知道 SQL Injection 適用場合，接下來我們將通過具體的例子來說明 SQL Injection 的應用，這 里我們以 pubs 數據庫作為例子。 我們通過 Web 頁面查詢 job 表中的招聘信息，job 表的設計如下：

/// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.</param>
/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>
protected void Page_Load(object sender, EventArgs e)
{
    if (!IsPostBack)
    {
        // Gets departmentId from http request.
        string queryString = Request.QueryString["departmentID"];
        if (!string.IsNullOrEmpty(queryString))
        {
            // Gets data from database.
            gdvData.DataSource = GetData(queryString.Trim());

            // Binds data to gridview.
            gdvData.DataBind();
        }
    }
}

現在我們已經完成了Web程序，接下來讓我們查詢相應招聘信息吧。

圖2 job表查詢結果

      如圖所示，我們要查詢數據庫中工作Id值為1的工作信息，而且在頁面顯示了該工作的Id，Description，Min Lvl和Max Lvl等信息。

      現在要求我們實現根據工作Id查詢相應工作信息的功能，想必大家很快可以給出解決方案，SQL示意代碼如下：

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)

      假設現在要求我們獲取Department表中的所有數據，而且必須保留WHERE語句，那我們只要確保WHERE恒真就OK了，SQL示意代碼如下：

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobs
WHERE     (job_id = 1) OR 1 = 1

    上面我們使得WHERE恒真，所以該查詢中WHERE已經不起作用了，其查詢結果等同于以下SQL語句。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobs

   SQL查詢代碼實現如下：

string sql1 = string.Format(    "SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'", jobId);

    現在我們要通過頁面請求的方式，讓數據庫執行我們的SQL語句，我們要在URL中嵌入惡意表達式1=1（或2=2等等），如下URL所示：

   http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1

   等效SQL語句如下：

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     job_id = '1' OR '1' = 1'

圖3 job表查詢結果

      現在我們把job表中的所有數據都查詢出來了，僅僅通過一個簡單的恒真表達式就可以進行了一次簡單的攻擊。

      雖然我們把job表的數據都查詢出來了，但數據并沒有太大的價值，由于我們把該表臨時命名為job表，所以接著我們要找出該表真正表名。

      首先我們假設表名就是job，然后輸入以下URL：

      http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or 1=(select count(*) from job)--

      等效SQL語句如下：

SELECT       job_id, job_desc, min_lvl, max_lvl 
FROM         jobs 
WHERE      job_id='1'or 1=(select count(*) from job) --'

圖4 job表查詢結果

      當我們輸入了以上URL后，結果服務器返回我們錯誤信息，這證明了我們的假設是錯誤的，那我們該感覺到挫敗嗎？不，其實這里返回了很多信息，首先它證明了該表名不是job，而且它還告訴我們后臺數據庫是SQL Server，不是MySQL或Oracle，這也設計一個漏洞把錯誤信息直接返回給了用戶。

     接下假定表名是jobs，然后輸入以下URL：

    http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or1=(select count(*) from jobs) --

    等效SQL語句如下：

SELECT       job_id, job_desc, min_lvl, max_lvl 
FROM         jobs 
WHERE      job_id='1'or 1=(select count(*) from jobs) --'

圖5 job表查詢結果

     現在證明了該表名是jobs，這可以邁向成功的一大步，由于我們知道了表名就可以對該表進行增刪改操作了，而且我們還可以猜測出更多的表對它們作出修改，一旦修改成功那么這將是一場災難。

     現在大家已經對SQL Injection的攻擊有了初步的了解了，接下讓我們學習如何防止SQL Injection。

     總的來說有以下幾點：

1.永遠不要信任用戶的輸入，要對用戶的輸入進行校驗，可以通過正則表達式，或限制長度，對單引號和雙"-"進行轉換等。

2.永遠不要使用動態拼裝SQL，可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。

3.永遠不要使用管理員權限的數據庫連接，為每個應用使用單獨的權限有限的數據庫連接。

4.不要把機密信息明文存放，請加密或者hash掉密碼和敏感的信息。

5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝，把異常信息存放在獨立的表中。

 

通過正則表達校驗用戶輸入

      首先我們可以通過正則表達式校驗用戶輸入數據中是包含：對單引號和雙"-"進行轉換等字符。

      然后繼續校驗輸入數據中是否包含SQL語句的保留字，如：WHERE，EXEC，DROP等。

      現在讓我們編寫正則表達式來校驗用戶的輸入吧，正則表達式定義如下：

private static readonly Regex RegSystemThreats =        new Regex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" +            @"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?",            RegexOptions.Compiled | RegexOptions.IgnoreCase);

      上面我們定義了一個正則表達式對象RegSystemThreats，并且給它傳遞了校驗用戶輸入的正則表達式。

      由于我們已經完成了對用戶輸入校驗的正則表達式了，接下來就是通過該正則表達式來校驗用戶輸入是否合法了，由于.NET已經幫我們實現了判斷字符串是否匹配正則表達式的方法——IsMatch()，所以我們這里只需給傳遞要匹配的字符串就OK了。

      示意代碼如下：

/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.  
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <returns>true if found, false if not found </returns>public static bool DetectSqlInjection(string whereClause)
{    return RegSystemThreats.IsMatch(whereClause);
}/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.  
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <param name="orderBy">string of the orderBy clause to check</param>
/// <returns>true if found, false if not found </returns>public static bool DetectSqlInjection(string whereClause, string orderBy)
{    return RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy);
}

     現在我們完成了校驗用的正則表達式，接下來讓我們需要在頁面中添加校驗功能。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)0

     當我們再次執行以下URL時，被嵌入的惡意語句被校驗出來了，從而在一定程度上防止了SQL Injection。

     http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1

圖6 添加校驗查詢結果

      但使用正則表達式只能防范一些常見或已知SQL Injection方式，而且每當發現有新的攻擊方式時，都要對正則表達式進行修改，這可是吃力不討好的工作。

通過參數化存儲過程進行數據查詢存取

      首先我們定義一個存儲過程根據jobId來查找jobs表中的數據。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)1

    接著修改我們的Web程序使用參數化的存儲過程進行數據查詢。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)2

    現在我們通過參數化存儲過程進行數據庫查詢，這里我們把之前添加的正則表達式校驗注釋掉。

圖7 存儲過程查詢結果

      大家看到當我們試圖在URL中嵌入惡意的SQL語句時，參數化存儲過程已經幫我們校驗出傳遞給數據庫的變量不是整形，而且使用存儲過程的好處是我們還可以很方便地控制用戶權限，我們可以給用戶分配只讀或可讀寫權限。

     但我們想想真的有必要每個數據庫操作都定義成存儲過程嗎？而且那么多的存儲過程也不利于日常的維護。

參數化SQL語句

     還是回到之前動態拼接SQL基礎上，我們知道一旦有惡意SQL代碼傳遞過來，而且被拼接到SQL語句中就會被數據庫執行，那么我們是否可以在拼接之前進行判斷呢？——命名SQL參數。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)3

圖8 參數化SQL查詢結果

      這樣我們就可以避免每個數據庫操作（尤其一些簡單數據庫操作）都編寫存儲過程了，而且當用戶具有數據庫中jobs表的讀權限才可以執行該SQL語句。

添加新架構

      數據庫架構是一個獨立于數據庫用戶的非重復命名空間，您可以將架構視為對象的容器（類似于.NET中的命名空間）。

      首先我們右擊架構文件夾，然后新建架構。

圖9 添加HumanResource架構

    上面我們完成了在pubs數據庫中添加HumanResource架構，接著把jobs表放到HumanResource架構中。

圖 10 修改jobs表所屬的架構

      當我們再次執行以下SQL語句時，SQL Server提示jobs無效，這是究竟什么原因呢？之前還運行的好好的。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)4

圖 11 查詢輸出

    當我們輸入完整的表名“架構名.對象名”（HumanResource.jobs）時，SQL語句執行成功。

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)5

      為什么之前我們執行SQL語句時不用輸入完整表名dbo.jobs也可以執行呢？

      這是因為默認的架構（default schema）是dbo，當只輸入表名時，Sql Server會自動加上當前登錄用戶的默認的架構（default schema）——dbo。

      由于我們使用自定義架構，這也降低了數據庫表名被猜測出來的可能性。

LINQ to SQL

      前面使用了存儲過程和參數化查詢，這兩種方法都是非常常用的，而針對于.NET Framework的ORM框架也有很多，如：NHibernate，Castle和Entity Framework，這里我們使用比較簡單LINQ to SQL。

圖 12 添加jobs.dbml文件

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)6

     相比存儲過程和參數化查詢，LINQ to SQL我們只需添加jobs.dbml，然后使用LINQ對表進行查詢就OK了。

 總結

      我們在本文中介紹了SQL Injection的基本原理，通過介紹什么是SQL Injection，怎樣進行SQL Injection和如何防范SQL Injection。通過一些程序源碼對SQL的攻擊進行了細致的分析，使我們對SQL Injection機理有了一個深入的認識，作為一名Web應用開發人員，一定不要盲目相信用戶的輸入，而要對用戶輸入的數據進行嚴格的校驗處理，否則的話，SQL Injection將會不期而至。