高效通用的分頁存儲(chǔ)過程是帶有sql注入漏洞的

字號(hào):

在google中搜索“分頁存儲(chǔ)過程”會(huì)出來好多結(jié)果,是大家常用的分頁存儲(chǔ)過程,今天我卻要說它是有漏洞的,而且漏洞無法通過修改存儲(chǔ)過程進(jìn)行補(bǔ)救,考試大提示如果你覺得我錯(cuò)了,請(qǐng)讀下去也許你會(huì)改變看法。
    通常大家都會(huì)認(rèn)為存儲(chǔ)過程可以避免sql注入的漏洞,這適用于一般的存儲(chǔ)過程,而對(duì)于通用分頁存儲(chǔ)過程是不適合的,請(qǐng)看下面的代碼和分析!
    一般的通用的分頁存儲(chǔ)過程代碼如下:
    通用分頁存儲(chǔ)過程
    CREATE PROCEDURE pagination
    @tblName varchar(255), -- 表名
    @strGetFields varchar(1000) = ’*’, -- 需要返回的列
    @fldName varchar(255)=’’, -- 排序的字段名
    @PageSize int = 10, -- 頁尺寸
    @PageIndex int = 1, -- 頁碼
    @doCount bit = 0, -- 返回記錄總數(shù), 非 0 值則返回
    @OrderType bit = 0, -- 設(shè)置排序類型, 非 0 值則降序
    @strWhere varchar(1500) = ’’ -- 查詢條件 (注意: 不要加 where)
    AS
    declare @strSQL varchar(5000) -- 主語句
    declare @strTmp varchar(110) -- 臨時(shí)變量
    declare @strOrder varchar(400) -- 排序類型
    if @doCount != 0
    begin
    if @strWhere !=’’
    set @strSQL = ’select count(*) as Total from [’ + @tblName + ’] where ’+@strWhere
    else
    set @strSQL = ’select count(*) as Total from [’ + @tblName + ’]’
    end
    --以上代碼的意思是如果@doCount傳遞過來的不是0,就執(zhí)行總數(shù)統(tǒng)計(jì)。以下的所有代碼都是@doCount為0的情況
    else
    begin
    if @OrderType != 0
    begin
    set @strTmp = ’<(select min’
    set @strOrder = ’ order by [’ + @fldName +’] desc’
    --如果@OrderType不是0,就執(zhí)行降序,這句很重要!
    end
    else
    begin
    set @strTmp = ’>(select max’
    set @strOrder = ’ order by [’ + @fldName +’] asc’
    end
    if @PageIndex = 1
    begin
    if @strWhere != ’’
    set @strSQL = ’select top ’ + str(@PageSize) +’ ’+@strGetFields+ ’ from [’ + @tblName + ’] where ’ + @strWhere + ’ ’ + @strOrder
    else
    set @strSQL = ’select top ’ + str(@PageSize) +’ ’+@strGetFields+ ’ from [’+ @tblName + ’] ’+ @strOrder
    --如果是第一頁就執(zhí)行以上代碼,這樣會(huì)加快執(zhí)行速度
    end
    else
    begin
    --以下代碼賦予了@strSQL以真正執(zhí)行的SQL代碼
    set @strSQL = ’select top ’ + str(@PageSize) +’ ’+@strGetFields+ ’ from [’
    + @tblName + ’] where [’ + @fldName + ’]’ + @strTmp + ’([’+ @fldName + ’]) from (select top ’ + str((@PageIndex-1)*@PageSize) + ’ [’+ @fldName + ’] from [’ + @tblName + ’]’ + @strOrder + ’) as tblTmp)’+ @strOrder
    if @strWhere != ’’
    set @strSQL = ’select top ’ + str(@PageSize) +’ ’+@strGetFields+ ’ from [’
    + @tblName + ’] where [’ + @fldName + ’]’ + @strTmp + ’([’
    + @fldName + ’]) from (select top ’ + str((@PageIndex-1)*@PageSize) + ’ [’
    + @fldName + ’] from [’ + @tblName + ’] where ’ + @strWhere + ’ ’
    + @strOrder + ’) as tblTmp) and ’ + @strWhere + ’ ’ + @strOrder
    end
    end
    exec (@strSQL)
    GO
    大家可以看到上面的存儲(chǔ)過程中是通過一些步驟最終拼接成一個(gè)sql字符串,然后通過exec執(zhí)行這個(gè)串得到分頁的結(jié)果。
    我們假定要做一個(gè)這樣的查詢,通過用戶名UserName模糊查詢用戶,為了敘述方便,便于理解我們只考慮取第一頁的情況,取出存儲(chǔ)過程中取第一頁的拼串行如下:
    set @strSQL = ’SELECT ’ + str(@PageSize) + ’ ’ + @strGetFields + ’ from [’ + @tblName + ’] where ’ + @strWhere + ’ ’ + @strOrder
    為了便于說明問題,我們可以假定@pageSize為20,@strGetFields為 ‘*’,@tblName為UserAccount,@strOrder為’ ORDER BY ID DESC’ 那么上面一行可以寫成如下形式:
    set @strSQL = ’SELECT 20 * from [UserAccount] where ’ + @strWhere + ’ ORDER BY ID DESC’
    我們可以假定用戶輸入的模糊用戶名是: Jim’s dog
    我們用SqlParameter傳遞參數(shù)給分頁存儲(chǔ)過程@strWhere 的值是:’UserName LIKE ‘’%Jim’’ dog%’’’(注意LIKE后邊的字符串中的單引號(hào)已經(jīng)全部變成兩個(gè)單引號(hào)了),我們將這個(gè)值代入上面的@strSQL賦值語句中,如下:
    set @strSQL = ’SELECT 20 * from [UserAccount] where UserName LIKE ’’%Jim’’ dog%’’ ORDER BY ID DESC’
    讓我們寫上聲明變量的部分執(zhí)行在查詢分析器中測(cè)試一下,代碼如下:
    DECLARE @strSQL varchar(8000)
    DECLARE @strWhere varchar(1000)
    SET @strWhere = ’UserName LIKE ’’%Jim’’ dog%’’’
    set @strSQL = ’SELECT 20 * from [UserAccount] where ’ + @strWhere + ’ ORDER BY ID DESC’
    print @strSQL
    exec (@strSQL)
    大家可以把上面幾行代碼粘貼到查詢分析器中執(zhí)行一下.
    在消息的第一行,打印出了要執(zhí)行的sql語句,很顯然此語句的 LIKE ‘%Jim’ 后面的部分全部被截?cái)嗔?,也就是說如果用戶輸入的不是Jim’s dog而是Jim’ delete from UserAccount那么會(huì)正確的執(zhí)行刪除操作,傳說中的sql注入就會(huì)出現(xiàn)了。
    問題出現(xiàn)了,我們應(yīng)該怎么解決問題?
    1. 很顯然我們使用SqlParameter傳遞參數(shù)已經(jīng)將單引號(hào)替換成了連個(gè)單引號(hào)了,可是因?yàn)槲覀冊(cè)跀?shù)據(jù)庫中拼串導(dǎo)致替換并不能解決問題。
    2. 根據(jù)我的實(shí)驗(yàn)證明如果使用存儲(chǔ)過程不可能解決這個(gè)問題,我們只有將這個(gè)存儲(chǔ)過程要執(zhí)行的拼串操作放到數(shù)據(jù)訪問層去做,才可以避免這個(gè)問題。
    如果大家有在存儲(chǔ)過程中解決這個(gè)問題的辦法,請(qǐng)不吝賜教。
    備注:本文說的是MS SQL Server2000的數(shù)據(jù)庫,而非使用SQL 2005的新特性分頁。