防止SQL注入.docVIP

防止SQL注入 1.?什么是SQL注入 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过递交参数构造巧妙的SQL语句，从而成功获取想要的数据。 2.?SQL注入的种类 从具体而言，SQL注入可分为五大类，分别是：数字型注入、字符型注入、有哪些信誉好的足球投注网站型注入（like）、in型的注入、句语连接型注入。 从应用来说，要特别注意IP、有哪些信誉好的足球投注网站、批量删除、从数据库转到数据库等地方的SQL注入。 3.?如何防止SQL注入 3.1 SQL注入产生的原因 看下面检查登陆的SQL语句： SqlCommand cmd = new SqlCommand(SELECT * FROM PE_USERS WHERE UserName = + UserName + AND UserPassword = + PassWord + , conn); 由于没有对UserName和PassWord进行任何验证，如果UserName=” admin’ OR 1=1--“ 所执行的SQL语句就成了： SELECT * FROM PE_USERS WHERE UserName=’admin’ OR 1=1—‘ AND UserPassword=’’ 这就造成了SQL注入，条件永远为真，也就不用密码也能登陆成功。 3.2主要防御方式 防御手段一:参数化查询 保护级别：★★★★★ 描述: 使用参数化查询的好处：可以防止sql注入式攻击，提高程序执行效率。 例如: const string strSql = SELECT * FROM [PE_Users] WHERE UserName = @UserName; Parameters parms = new Parameters(@UserName, DbType.String, userName); 中有一个参数@UserName, 使用Prarmeter对象，通过它把参数添加到Command对象上，这样就获得参数化查询。 如上述语句,ADO.NET 会向SQL Server 发送下面的SQL语句: Exec sp_executesql N ‘select * from [pe_users] where username=@username ‘,N ‘@username nvarchar(20) ‘,@username=N ‘name’ SQL Server 把@username 替换成字符串”name”,然后再执行查询. 假设有下面的输入: ‘ union select @@version,null,null— 生成的SQL语句如下所示: Exec sp_executesql N ‘select * from [pe_users] where username=@username ‘,N ‘@username nvarchar(20) ‘,@username=N ‘’’ union select @@version,null,null--’ 可以看到ADO.NET转义了输入。 public SqlParameter Add(string parameterName, SqlDbType sqlDbType, int size); DbTye或SqlDbType可以是多种数据类型。 可根据你的数据类型来选择。 在某些地方,也可似指定参数的长度:int size。这样也能有效防止数据库溢出和SQL注入的可能性。 优点：有效地防止了SQL注入的产生。 缺点：有些地方不能应用，如 in 。 防御手段二:过滤与转换 保护级别：★★★★ 描述: 对于数据型要强制转换成数字Clng，对于字符型，要通过函数过滤。如： private string SafeSqlLiteral(string inputSQL) { return inputSQL.Replace(, ); } 对于有哪些信誉好的足球投注网站的地方LIKE 子句，要注意，如果要使用 LIKE 子句，还必须对通配符字符进行转义： s = s.Replace([, [[]); s = s.Replace(%, [%]); s = s.Replace(_, [_]); 对于in类型，要转换成规格的数字串或字符串。 要尽量少用语句连接形式写SQL语句，要用到的地方要确保连接语句的安全性，或在白名单内，或限制很短的长度，以防止SQL语句构造的危险。 优点：有效地防止了SQL注入,实现简单。 缺点：容易遗漏，对于某些地方还是不能过滤，如 order by + 变量 对于不能使用参数化查询的部份，我们使用过滤函数处理，过滤函数在命名空间PowerEasy.Framework.Common中的DataSecurity类下，如：Fil