`

参数化查询为什么能够防止SQL注入

阅读更多

 

为什么拼接SQL 字符串会导致SQL注入的风险呢

首先创建一张表Users:

CREATE TABLE [dbo].[Users](

[Id] [uniqueidentifier] NOT NULL,

[UserId] [int] NOT NULL,

[UserName] [varchar](50) NULL,

[Password] [varchar](50) NOT NULL,

 CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED 

(

[Id] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY]

3F3ECD42B7A24B139ECA0A7D584CA195

 

插入一些数据:

INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');

 

假设我们有个用户登录的页面,代码如下:

验证用户登录的sql 如下:

select COUNT(*) from Users where Password = 'a' and UserName = 'b' 

这段代码返回Password 和UserName都匹配的用户数量,如果大于1的话,那么就代表用户存在。

本文不讨论SQL 中的密码策略,也不讨论代码规范,主要是讲为什么能够防止SQL注入,请一些同学不要纠结与某些代码,或者和SQL注入无关的主题。

 

 

可以看到执行结果:

15C19A6170754E21A52A79AAA01B9B48

这个是SQL profile 跟踪的SQL 语句。

5CB6FB63846740C494C6466FE27D2B3C

 

注入的代码如下:

select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'

这里有人将UserName设置为了 “b' or 1=1 –”.

 

实际执行的SQL就变成了如下:

782A96FEE0784A39B5500CAE267B90EE

 

5A8FCD361FFE414AB18AEE5C9ED681DE

  可以很明显的看到SQL注入成功了。

 

很多人都知道参数化查询可以避免上面出现的注入问题,比如下面的代码:

class Program
{
    private static string connectionString = "Data Source=.;Initial Catalog=Test;Integrated Security=True";

    static void Main(string[] args)
    {
        Login("b", "a");
        Login("b' or 1=1--", "a");
    }

    private static void Login(string userName, string password)
    {
        using (SqlConnection conn = new SqlConnection(connectionString))
        {
            conn.Open();
            SqlCommand comm = new SqlCommand();
            comm.Connection = conn;
            //为每一条数据添加一个参数
            comm.CommandText = "select COUNT(*) from Users where Password = @Password and UserName = @UserName";
            comm.Parameters.AddRange(
            new SqlParameter[]{                        
                new SqlParameter("@Password", SqlDbType.VarChar) { Value = password},
                new SqlParameter("@UserName", SqlDbType.VarChar) { Value = userName},
            });

            comm.ExecuteNonQuery();
        }
    }
}

 

实际执行的SQL 如下所示:

exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(1)',@Password='a',@UserName='b'
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(11)',@Password='a',@UserName='b'' or 1=1—'
 
 
 

可以看到参数化查询主要做了这些事情:

1:参数过滤,可以看到 @UserName='b'' or 1=1—'
2:执行计划重用

 

因为执行计划被重用,所以可以防止SQL注入。

 

首先分析SQL注入的本质,

用户写了一段SQL 用来表示查找密码是a的,用户名是b的所有用户的数量。

通过注入SQL,这段SQL现在表示的含义是查找(密码是a的,并且用户名是b的,) 或者1=1 的所有用户的数量。

 

可以看到SQL的语意发生了改变,为什么发生了改变呢?,因为没有重用以前的执行计划,因为对注入后的SQL语句重新进行了编译,因为重新执行了语法解析。所以要保证SQL语义不变,即我想要表达SQL就是我想表达的意思,不是别的注入后的意思,就应该重用执行计划。

 

如果不能够重用执行计划,那么就有SQL注入的风险,因为SQL的语意有可能会变化,所表达的查询就可能变化。

 

在SQL Server 中查询执行计划可以使用下面的脚本:

DBCC FreeProccache

select total_elapsed_time / execution_count 平均时间,total_logical_reads/execution_count 逻辑读,
usecounts 重用次数,SUBSTRING(d.text, (statement_start_offset/2) + 1,
         ((CASE statement_end_offset 
          WHEN -1 THEN DATALENGTH(text)
          ELSE statement_end_offset END 
            - statement_start_offset)/2) + 1) 语句执行 from sys.dm_exec_cached_plans a
cross apply sys.dm_exec_query_plan(a.plan_handle) c
,sys.dm_exec_query_stats b
cross apply sys.dm_exec_sql_text(b.sql_handle) d
--where a.plan_handle=b.plan_handle and total_logical_reads/execution_count>4000
ORDER BY total_elapsed_time / execution_count DESC;
 

18EFAED775BF4DB9A36C57B39EC6913D

 

博客园有篇文章: Sql Server参数化查询之where in和like实现详解

 

在这篇文章中有这么一段:

image

 

这里作者有一句话:”不过这种写法和直接拼SQL执行没啥实质性的区别

任何拼接SQL的方式都有SQL注入的风险,所以如果没有实质性的区别的话,那么使用exec 动态执行SQL是不能防止SQL注入的。

 

比如下面的代码:

private static void TestMethod()
{
    using (SqlConnection conn = new SqlConnection(connectionString))
    {
        conn.Open();
        SqlCommand comm = new SqlCommand();
        comm.Connection = conn;
        //使用exec动态执行SQL 
        //实际执行的查询计划为(@UserID varchar(max))select * from Users(nolock) where UserID in (1,2,3,4)  
        //不是预期的(@UserID varchar(max))exec('select * from Users(nolock) where UserID in ('+@UserID+')')    
        comm.CommandText = "exec('select * from Users(nolock) where UserID in ('+@UserID+')')";
        comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4" });
        //comm.Parameters.Add(new SqlParameter("@UserID", SqlDbType.VarChar, -1) { Value = "1,2,3,4); delete from Users;--" });
        comm.ExecuteNonQuery();
    }
}

 

执行的SQL 如下:

exec sp_executesql N'exec(''select * from Users(nolock) where UserID in (''+@UserID+'')'')',N'@UserID varchar(max) ',@UserID='1,2,3,4'
D25E99E053D549AF955518AD0A320259
 
可以看到SQL语句并没有参数化查询。
 
如果你将UserID设置为”

1,2,3,4); delete from Users;—-

”,那么执行的SQL就是下面这样:
exec sp_executesql N'exec(''select * from Users(nolock) where UserID in (''+@UserID+'')'')',N'@UserID varchar(max) ',@UserID='1,2,3,4); delete from Users;--'

 

不要以为加了个@UserID 就代表能够防止SQL注入,实际执行的SQL 如下:

 

3C50EFE68418448496BAC7773067AB6F
 
任何动态的执行SQL 都有注入的风险,因为动态意味着不重用执行计划,而如果不重用执行计划的话,那么就基本上无法保证你写的SQL所表示的意思就是你要表达的意思。
 
这就好像小时候的填空题,查找密码是(____) 并且用户名是(____)的用户。
不管你填的是什么值,我所表达的就是这个意思。
 
最后再总结一句:因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,
存储过程也是一样的道理,因为可以重用执行计划。

http://www.cnblogs.com/LoveJenny/archive/2013/01/15/2860553.html

分享到:
评论

相关推荐

    参数化查询为什么能够防止SQL注入[整理].pdf

    参数化查询是一种防止SQL注入的有效方法,但很多人不知道为什么参数化查询能够防止SQL注入。下面,我们将一步一步的解释为什么SQL注入发生和参数化查询如何防止SQL注入。 首先,我们需要了解SQL Server是如何处理...

    C#参数化查询,避免SQL注入

    为了解决这个问题,C#提供了一种有效的方法——参数化查询,这是一种安全且高效的方式来执行数据库操作,能有效地防止SQL注入攻击。 参数化查询的核心思想是将SQL语句和实际的值分离,通过占位符(如`?`或`@param`...

    SQL参数化(防止SQL注入)

    "SQL参数化(防止SQL注入)" SQL参数化是ASP.NET开发中的一种常用技术,用于防止SQL注入攻击。SQL注入攻击是指攻击者通过在输入框中输入恶意的SQL语句,来获取或修改数据库中的敏感信息。这种攻击方式可以导致严重...

    使用Python防止SQL注入攻击的实现示例

    为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接进SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...

    SQL参数化-防SQL注入

    参数化的优点是可以防止SQL注入,因为参数化的SQL语句是在编译时被预编译的,而不是在运行时被编译的,这样可以防止恶意代码的注入。参数化还可以提高性能,因为预编译的SQL语句可以被重复使用。 在参数化中,我们...

    防止sql注入工具类l

    这个工具类可能提供了自动转义或参数化查询的功能,比如`mysqli_real_escape_string`函数,或者更高级的ORM框架如Doctrine,它们内置了防止SQL注入的安全机制。 4. **最小权限原则**:数据库连接账户应具有执行其...

    SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

    SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库...Spring Boot通过提供JdbcTemplate和Spring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。

    Python中防止sql注入的方法详解

    ### Python中防止SQL注入的方法详解 #### 前言 SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行非法操作,如篡改、删除或检索敏感数据等。对于使用Python...

    C# 防止SQL注入式攻击

    在"Ex18_04防止SQL注入式攻击"的示例中,可能会展示如何在实际项目中应用这些概念,包括创建安全的查询、处理用户输入以及使用参数化查询。通过学习和实践这个例子,开发者可以更好地理解和掌握防止SQL注入的方法,...

    防止SQL注入式攻击

    2. **参数化查询/预编译语句**:这是防止SQL注入的最有效方法之一。通过使用参数化查询,输入的数据被作为参数处理,而不是作为查询的一部分,从而避免了SQL代码被执行的可能性。例如,在.NET中,可以使用SqlCommand...

    JS代码防止SQL注入的方法(超简单)

    // 使用预处理语句和参数化查询来防止SQL注入 $stmt = $mysqli->prepare("SELECT * FROM users WHERE username=? AND password=?"); $stmt->bind_param('ss', $username, $password); $username = $mysqli->real_...

    Sql Server参数化查询之where in和like实现详解

    在Sql Server中,参数化查询是提高查询性能和防止SQL注入攻击的有效方法之一。其中,where in和like是两个常用的查询条件,然而它们的参数化实现却不是那么简单。本文将详细介绍where in和like的参数化查询实现方法...

    c# 全站防止sql注入

    // 使用内置的SqlClient库进行参数化查询,防止SQL注入 return System.Data.SqlClient.SqlParameter.Create(input).Value.ToString(); } public static bool IsValidInput(string input) { // 验证输入,例如...

    【ASP.NET编程知识】ASP.NET防止SQL注入的方法示例.docx

    该方法是通过使用参数化的查询语句来防止 SQL 注入攻击。例如,在 ASP.NET 中,我们可以使用 SqlParameter 对象来参数化查询语句,从而防止恶意的 SQL 代码。 2. 传统的笨一点的办法 如果我们不想使用参数法防注入...

    C#防SQL注入代码的三种方法

     二:如果用SQL语句,那就使用参数化,添加Param  三:尽可能的使用存储过程,安全性能高而且处理速度也快  四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起...

    【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx

    总之,虽然参数化查询是防止SQL注入的首选方法,但SqlFilter类提供了一个可行的补充方案,尤其适用于那些难以立即进行架构调整的老项目。通过在应用层面上增设此类过滤机制,可以有效地提升应用程序的安全性。当然,...

    C#防SQL注入

    参数化查询通过使用参数来替代传统的字符串拼接方式构建SQL语句,这些参数在执行前会被数据库系统安全地处理,确保了传入的数据不会被解释为SQL指令的一部分。例如,在C#中,可以使用SqlCommand对象,并通过其...

    DB2数据库SQL注入手册1

    2. 参数化查询:使用参数化查询可以防止SQL注入攻击,因为恶意代码无法被作为参数传递。 3. 访问控制:限制数据库访问权限,以防止未经授权的访问。 常见SQL注入攻击 以下是一些常见的SQL注入攻击: 1. Union攻击...

Global site tag (gtag.js) - Google Analytics