www.mengba.com

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://mlqh.yourblog.org/logs/177713.html

sql injection也就是昨天说的SQL注入（也可以有其他的翻译，反正我喜欢用注入这个词） 昨天只举了个简单的例子，今天咱们来深入讨论这个吧 SQL injection可以说是一种漏洞，也可以说成是一种攻击方法，程序中的变量处理不当，对用户提交的数据过滤不足，都可能产生这个漏洞，而攻击原理就是利用用户提交或可修改的数据，把想要的SQL语句插入到系统实际SQL语句中，轻则获得敏感的信息，重则控制服务器。SQL injection并不紧紧局限在Mssql数据库中，Access、Mysql、Oracle、Sybase都可以进行SQL injection攻击。 这个昨天有提到但不全面今天我特地再说一遍。 SQL injection使得攻击者能够利用 Web 应用程序中某些疏于防范的输入机会动态生成特殊的 SQL 指令语句。举一个常见的例子： 某 Web 网站采用表单来收集访问者的用户名和密码以确认他有足够权限访问某些保密信息，然后该表单被发送到 Web 服务器进行处理。接下来，服务器端的ASP 脚本根据表单提供的信息生成 SQL 指令语句提交到 SQL 服务器，并通过分析 SQL 服务器的返回结果来判断该用户名/密码组合是否有效。 为了实现这样的功能，Web 程序员可能会设计两个页面：一个 HTML 页面 (Login.htm) 用于登录，另一个ASP 页面 (ExecLogin.asp) 用于验证用户权限(即向数据库查询用户名/密码组合是否存在)。具体代码可能象这样： Login.htm (HTML 页面) 代码:<form action="ExecLogin.asp" method="post"> Username: <input type="text" name="txtUsername"> Password: <input type="password" name="txtPassword"> <input type="submit"> </form> ExecLogin.asp (ASP 页面) 代码:<% Dim p_strUsername, p_strPassword, objRS, strSQL p_strUsername = Request.form("txtUsername") p_strPassword = Request.form("txtPassword") strSQL = "SELECT * FROM tblUsers " & _ "WHERE Username=’" & p_strUsername & _ "’ and Password=’" & p_strPassword & "’" Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." If (objRS.EOF) Then Response.Write "Invalid login." Else Response.Write "You are logged in as " & objRS("Username") End If Set objRS = Nothing %> 乍一看，ExecLogin.asp 的代码似乎没有任何安全漏洞，因为用户如果不给出有效的用户名/密码组合就无法登录。然而，这段代码偏偏不安全，而且它正是SQL 指令植入式攻击的理想目标。具体而言，设计者把用户的输入直接用于构建SQL 指令，从而使攻击者能够自行决定即将被执行的 SQL 指令。例如：攻击者可能会在表单的用户名或密码栏中输入包含“ or ”和“=” 等特殊字符。于是，提交给数据库的 SQL 指令就可能是： 代码:SELECT * FROM tblUsers WHERE Username=’’ or ’’=’’ and Password = ’’ or ’’=’’ 这样，SQL 服务器将返回 tblUsers 表格中的所有记录，而 ASP 脚本将会因此而误认为攻击者的输入符合 tblUsers 表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。 SQL 指令植入式攻击还有另一种形式，它发生在 ASP 服务器根据 querystring 参数动态生成网页时。这里有一个例子，此 ASP 页面从 URL 中提取出 querystring 参数中的 ID 值，然后根据 ID 值动态生成后继页面： 代码:<% Dim p_lngID, objRS, strSQL p_lngID = Request("ID") strSQL = "SELECT * FROM tblArticles WHERE ID=" & p_lngID Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." If (Not objRS.EOF) Then Response.Write objRS("ArticleContent") Set objRS = Nothing %> 在一般情况下，此 ASP 脚本能够显示具有特定 ID 值的文章的内容，而 ID 值是由 URL 中的 querystring 参数指定的。例如：当URL为 http://www.example.com/Article.asp?ID=1055 时，ASP 就会根据 ID 为 1055 的文章提供的内容生成页面。 如同前述登录页面的例子一样，此段代码也向SQL 指令植入式攻击敞开了大门。有些用户（比如我们）可能会把 querystring 中的文章 ID 值偷换为“0 or 1=1”等内容(也就是说，把 URL 换成 http://www.example.com/Article.asp?ID=0 or 1=1) 从而诱使 ASP 脚本生成不安全的 SQL 指令如： 代码:SELECT * FROM tblArticles WHERE ID=0 or 1=1 于是，数据库将会返回所有文章的内容。 当然了，本例服务器所受的攻击不一定会引起什么严重后果。可是如果我们变本加厉，比如用同样的手段发送 DELETE 等 SQL 指令。这只需要简单地修改前述 URL 中的 querystring 参数就可以了！例如：任何人都可以通过 “http://www.example.com/Article.asp?ID=1055 ; DELETE FROM tblArticles ” 之类的 URL 来访问 Web 网站。 但程序毕竟是各种各样的，有些可以通过修改URL数据来提交命令或语句，有些则不行，不能打URL的主意，怎么办呢？通过修改<input>标签内的value的值也可以提交我们构造的语句，SQL injection是很灵活的技术，但我们的目的只有一个，就是想