的SQL流量注入(SQL注入)攻擊法

字號:

我們在編程過程中,經(jīng)常會把用戶輸入的數(shù)據(jù)拼成一個SQL語句,然后直接發(fā)送給服務(wù)器執(zhí)行,比如:
    string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'";
    這樣的字符串連接可能會帶來災(zāi)難性的結(jié)果,比如用戶在文本框中輸入:
    a' or 1=1 --
    那么SqlStr的內(nèi)容就是:
    select * from customers where CompanyName like '%a' or 1=1 --%'
    這樣,整個customers數(shù)據(jù)表的所有數(shù)據(jù)就會被全部檢索出來,因?yàn)?=1永遠(yuǎn)true,而且最后的百分號和單引號被短橫杠注釋掉了。
    如果用戶在文本框中輸入:
    a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --
    那么SqlStr的內(nèi)容就是:
    select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --
    這個語句是在后臺數(shù)據(jù)庫中增加一個用戶John,密碼123,而且是一個sysadmin賬號,相當(dāng)于sa的權(quán)限。
    如果用戶在文本框中輸入:
    a' EXEC xp_cmdShell('format c:/y') --
    運(yùn)行之后好像是格式化C盤!
    還有很多更危險(xiǎn)的操作,不過都沒試過。還是存儲過程好用啊,存儲過程的參數(shù)把用戶的輸入當(dāng)成真正的字符串處理,既安全,又快速!