sql注入攻击与防御是什么？

SQL注入攻击：

恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中，同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤，导致SQL语句直接被服务端执行。

SQL注入攻击分类：

①注入点的不同分类：数字类型的注入、字符串类型的注入。

②提交方式的不同分类：GET注入、POST注入、COOKIE注入、HTTP注入。

③获取信息方式的不同分类：基于布尔的盲注、基于时间的盲注、基于报错的盲注。

SQL注入攻击防御方法：

①定制黑名单：将常用的SQL注入字符写入到黑名单中，然后通过程序对用户提交的POST、GET请求以及请求中的各个字段都进行过滤检查，筛选威胁字符。

②限制查询长度：由于SQL注入过程中需要构造较长的SQL语句，因此，一些特定的程序可以使用限制用户提交的请求内容的长度来达到防御SQL注入的目的，但这种效果不太好。

③限制查询类型：限制用户请求内容中每个字段的类型，并在用户提交请求的时候进行检查，凡不符合该类型的提交方式就认为是非法请求。

④白名单法：该方法只对部分程序有效，对一些请求内容相对固定的程序，可以制定请求内容的白名单，比如：某程序接受的请求只有数字，且数字为1-100，这样可以检查程序接受的请求内容是否匹配，如果不匹配，则认为是非法请求。

⑤设置数据库权限：根据程序要求为特定的表设置特定的权限，如：某段程序对某表只需具备select权限即可，这样即使程序存在问题，恶意用户也无法对表进行update或insert等写入 *** 作。

⑥限制目录权限：Web目录应至少遵循可写目录不可执行，可执行目录不可写的原则在此基础上，对各目录进行必要的权限细化。

关于SQL注入攻击与防范

随着网络的普及，关系数据库的广泛应用，网络安全越来越重要。下面是我为大家搜索整理了关于SQL注入攻击与防范，欢迎参考阅读，希望对大家有所帮助。想了解更多相关信息请持续关注我们应届毕业生培训网!

一、 SQL注入攻击

简言之，SQL注入是应用程序开发人员未预期地把SQL代码传入到应用程序的过程。它由于应用程序的糟糕设计而成为可能，并且只有那些直接使用用户提供的值构建SQL语句的应用程序才会受影响。

例如：用户输入客户ID后，GridView显示客户的全部行记录。在一个更加真实的案例中，用户还要输入密码之类的验证信息，或者根据前面的登录页面得到用户ID，可能还会有一些用户输入关键信息的文本框，如订单的日期范围或产品名称。问题在于命令是如何被执行的。在这个示例中，SQL语句通过字符串构造技术动态创建。文本框txtID的值被直接复制到字符串中。下面是代码：

在这个示例中，攻击者可以篡改SQL语句。通常，攻击的第一个目标是得到错误信息。如果错误没有被恰当处理，底层的信息就会暴露给攻击者。这些信息可用于进一步攻击。

例如，想象一下在文本一下在文本框中输入下面的字符串会发生什么?

ALFKI'OR '1'='1

再看看因此生成的完整SQL语句：

这条语句将返回所有的订单记录，即便那些订单不是由ALFDI创建，因为对每一行而言而有信1=1总是true。这样产生的后果是没有显示当前用户特定信息，却向攻击者显示了全部资料，如果屏幕上显示的是敏感信息，如社会保险号，生日或xyk资料，就会带来严重的问题。事实上，这些简单的SQL注入往往是困扰那些大型电子商务公司的麻烦。一般而言，攻击点不在于文本框而在于查询字符串(可被用于向数据库传送值，如列表页向详细信息页面传送唯一标识符)。

还可以进行更复杂的攻击。例如，攻击者可以使用两个连接号(--)注释掉SQL语句的剩余部分。这样的攻击只限于SQL Server，不过对于其他类型的数据库也有等效的办法，如MySql使用(#)号，Oracle使用()号。另外攻击者还可以执行含有任意SQL语句的批处理命令。对于SQL Server提供程序，攻击者只需在新命令前加上分号()。攻击者可以采用这样的方式删除其他表的内容，甚至调用SQL Server的系统存储过程xp_cmdshell在命令执行任意的程序。

下面是攻击者在文本框中输入的，它的攻击目标是删除Customers表的全部行。

LUNCHUN’DELETE*FROM Customers--

二、防范

如何预防SQL注入攻击呢?需要记住几点。首先，使用TextBox.MaxLength属性防止用户输入过长的字符是一个好办法。因为它们不够长，也就减少了贴入大量脚本的可能性。其次，要使用ASP.NET验证控件锁定错误的数据(如文本、空格、数值中的特殊字符)。另外，要限制错误信息给出的提示。捕获到数据库异常时，只显示一些通用的信息(如“数据源错误”)而不是显示Exception.Message属性中的信息，它可能暴露了系统攻击点。

更为重要的是，一定要小心去除特殊字符。比如，可以将单引号替换为两个单引号，这样它们就不会和SQL语句的分隔符混淆：

string ID=txtID.Text().Replace(“’”，”’’”)

当然，如果文本确实需要包含单引号，这样做就引入了其他麻烦。另外，某些SQL注入攻击还是可行的。替换单引号可以防止用户提前结束一个字符串，然而，如果动态构建含有数值的SQL语句，SQL注入攻击又有发挥的空间了。这个漏洞常被(这是很危险的)忽视。更好的解决办法是使用参数化的命令或使用存储过程执行转义以防止SQL注入攻击。

另一个好建议是限制用于访问数据库的账号的权限。这样该账号将没有权限访问其他数据库或执行扩展的存储过程。不过这样并不能解决SQL脚本注入的问题，因为用于连接数据库的进程几乎总是需要比任意单个用户更大的权限。通过限制权限，可以预防删除表的攻击，但不能阻止攻击者偷看别人的.信息

三、POST注入攻击

精明的用户可能会知道还有另外一个Web控件攻击的潜在途径。虽然参数化的命令防止了SQL注入攻击，但它们不能阻止攻击者向回发到服务器的数据添加恶意的值。如果不检查这些值，就使得攻击者可以提交本来不可能存在的控件值。

例如，假设你有一个显示当前用户订单的列表。狡诈的攻击者可能保存该页面的一个本地副本，修改HTML内容向列表添加更多的项目，然后选择某个“假”的项目。如果攻击成功，攻击者就能够看到其他用户订单，这显然是一个问题。幸好，ASP.NET使用一个很少被提及的叫做“事件验证”的特性来防止这种攻击。事件验证检查回发到服务器的数据并验证其中值的合法性。例如，如果回发的数据表明用户选择了一个没有意义的数据(因为它在控件中并不存在)，ASP.NET就产生一个错误并停止处理。可以在Page指令中设置EnableEventValidation特性为false来禁用事件验证。创建使用客户端脚本动态改变内容的页面时，需要执行这一步。不过，此时在使用这些值之前要注意检查潜在的POST注入攻击。

SQL注入攻击的危害很大，而且防火墙很难对攻击行为进行拦截，主要的SQL注入攻击防范方法，具体有以下几个方面。

1、分级管理

对用户进行分级管理，严格控制用户的权限，对于普通用户，禁止给予数据库建立、删除、修改等相关权限，只有系统管理员才具有增、删、改、查的权限。

2、参数传值

程序员在书写SQL语言时，禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容，过滤掉不安全的输入数据。或者采用参数传值的方式传递输入变量，这样可以最大程度防范SQL注入攻击。

3、基础过滤与二次过滤

SQL注入攻击前，入侵者通过修改参数提交and等特殊字符，判断是否存在漏洞，然后通过select、update等各种字符编写SQL注入语句。因此防范SQL注入要对用户输入进行检查，确保数据输入的安全性，在具体检查输入或提交的变量时，对于单引号、双引号、冒号等字符进行转换或者过滤，从而有效防止SQL注入。

当然危险字符有很多，在获取用户输入提交参数时，首先要进行基础过滤，然后根据程序的功能及用户输入的可能性进行二次过滤，以确保系统的安全性。

4、使用安全参数

SQL数据库为了有效抑制SQL注入攻击的影响。在进行SQLServer数据库设计时设置了专门的SQL安全参数。在程序编写时应尽量使用安全参数来杜绝注入式攻击，从而确保系统的安全性。

5、漏洞扫描

为了更有效地防范SQL注入攻击，作为系统管理除了设置有效的防范措施，更应该及时发现系统存在SQL攻击安全漏洞。系统管理员可以采购一些SQL漏洞扫描工具，通过专业的扫描工具，可以及时的扫描到系统存在的相应漏洞。

6、多层验证

现在的网站系统功能越来越庞大复杂。为确保系统的安全，访问者的数据输入必须经过严格的验证才能进入系统，验证没通过的输入直接被拒绝访问数据库，并且向上层系统发出错误提示信息。同时在客户端访问程序中验证访问者的相关输入信息，从而更有效的防止简单的SQL注入。但是如果多层验证中的下层如果验证数据通过，那么绕过客户端的攻击者就能够随意访问系统。因此在进行多层验证时，要每个层次相互配合，只有在客户端和系统端都进行有效的验证防护，才能更好地防范SQL注入攻击。

7、数据库信息加密

传统的加解密方法大致分为三种：对称加密、非对称加密、不可逆加密。

---