SQL注入可能是最常见的攻击面向Internet的SQL Server数据库的方法。即使你对网络和防火墙进行了防护,只要应用程序存在漏洞,那么依然存在受攻击的可能。微软已经注意到最近针对使用ASP和ASP.NET网站的攻击数量呈上升趋势。这不仅会导致数据的失窃和丢失,在近期的很多案例中数据库中还被攻击者加入恶意javascript代码,这导致访问网站的客户电脑也会因此感染病毒。
防护针对您数据库的SQL注入攻击有如下的几种方法:
1. 使用双引号
使用双引号或其他符号替换您的用户的输入值。这种简单的预防措施能较为有效的防护相当多的SQL注入攻击。单引号经常被用于结束SQL表达式,使输入的内容获得不必要的权限。
代码如下:
string strSanitizedInput = strInput.Replace("'", "''");
注意:请记住即使你已经替换了单引号,攻击者也有可能绕过这个防护措施。
2. 避免动态SQL
动态SQL是动态查询的很好的工具,但这也会暴露脆弱点。很多情况下可以使用其他SQL语句或存储过程来代替动态SQL。当然,如果您在存储过程中依然通过用户输入来建立动态SQL查询,那么只靠替换还是不安全的。
较好的使用参数的SQL语句如下:
Code
private void cmdLogin_Click(object sender, System.EventArgs e) {
string strcode = ConfigurationSettings.AppSettings["CodeBad"];
using (SqlConnection code = new SqlConnection(strcode))
{
SqlParameter prm;
code.Open();
string strQry =
"SELECT Count(*) FROM Users WHERE UserName=@username " +
"AND Password=@password";
int intRecs;
SqlCommand cmd = new SqlCommand(strQry,code);
cmd.CommandType= CommandType.Text;
prm = new SqlParameter("@username",SqlDbType.VarChar,50);
prm.Direction=ParameterDirection.Input;
prm.Value = txtUser.Text;
cmd.Parameters.Add(prm);
prm = new SqlParameter("@password",SqlDbType.VarChar,50);
prm.Direction=ParameterDirection.Input;
prm.Value = txtPassword.Text;
cmd.Parameters.Add(prm);
intRecs = (int) cmd.ExecuteScalar();
if (intRecs>0) {
FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);
}
else {
lblMsg.Text = "Login attempt failed.";
}
}
}
使用procVerifyUser存储过程来验证用户是一种更好的方法:
Code
private void cmdLogin_Click(object sender, System.EventArgs e) {
string strcode =
ConfigurationSettings.AppSettings["CodeBetter"];
using (SqlConnection code = new SqlConnection(strcode))
{
SqlParameter prm;
code.Open();
string strAccessLevel;
SqlCommand cmd = new SqlCommand("procVerifyUser", code);
cmd.CommandType= CommandType.StoredProcedure;
prm = new SqlParameter("@username",SqlDbType.VarChar,50);
prm.Direction=ParameterDirection.Input;
prm.Value = txtUser.Text;
cmd.Parameters.Add(prm);
prm = new SqlParameter("@password",SqlDbType.VarChar,50);
prm.Direction=ParameterDirection.Input;
prm.Value = txtPassword.Text;
cmd.Parameters.Add(prm);
strAccessLevel = (string) cmd.ExecuteScalar();
if (strAccessLevel.Length>0) {
FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);
}
else {
lblMsg.Text = "Login attempt failed.";
}
}
}
3. 验证所有的输入
永远不要信任用户的输入。
如果输入域中只能包含数字,那就需要验证用户输入的值是否只包含数字。如果允许输入字符,那么就需要检查是否有允许范围之外的字符。您的应用程序应该包含对诸如分号,等号,冒号,括号和SQL关键字的检查。.NET Framework提供常用的输入检查表达式来简化这个过程。限制用户输入的长度也是一种很好的方法。
您可以使用下列代码来检查输入值限于4-12位的数字,字母和下划线:
[\d_a-zA-Z]{4,12}
4. 最低权限原则
永远也不要在代码中用管理员级别权限的帐户来连接数据库。
应用程序使用的帐户应该只拥有应用程序需要的最低级别的权限。这也能将已入侵者造成的破坏降低到最低限度。应用程序不能已sa或其他管理员帐号连接数据库,而且应定义使用的帐号能访问的范围。
错误的使用系统管理员权限的代码如下:
<add key="CodeBad"
value="server=localhost;uid=sa;pwd=;database=northwind;" />
有限制的正确代码如下:
<add key="CodeGood"
value="server=localhost;uid=NWindReader;pwd=utbbeesozg4d;
database=northwind;" />
5. 安全存储机密信息
不要用明文存储机密信息。
较好的替代方法是使用加密或散列密码。散列密码较加密密码更安全,这是因为它们不能被解密。你还可以在散列加密之前添加一些随机值来增加安全性。
好的代码如下:
Code
private void cmdLogin_Click(object sender, System.EventArgs e) {
try {
// Grab the encrypted connection string and decrypt it
string strcode = SecureConnection.GetcodeString("CodeBest");
// Establish connection to database
using (SqlConnection code = new SqlConnection(strcode))
{
SqlParameter prm;
code.Open();
// Execute sproc to retrieved hashed password for this user
string strHashedDbPwd;
SqlCommand cmd = new SqlCommand("procGetHashedPassword", code);
cmd.CommandType = CommandType.StoredProcedure;
prm = new SqlParameter("@username", SqlDbType.VarChar,50);
prm.Direction = ParameterDirection.Input;
prm.Value = txtUser.Text;
cmd.Parameters.Add(prm);
strHashedDbPwd = (string) cmd.ExecuteScalar();
if (strHashedDbPwd.Length>0) {
// Verify that hashed user-entered password is the same
// as the hashed password from the database
if (SaltedHash.ValidatePassword(txtPassword.Text,
strHashedDbPwd)) {
FormsAuthentication.RedirectFromLoginPage(
txtUser.Text, false);
}
else {
lblMsg.Text = "Login attempt failed.";
}
}
else {
lblMsg.Text = "Login attempt failed.";
}
}
}
catch {
lblMsg.Text = "Login attempt failed.";
}
}
加密的连接字符串在Web.Config中存储如下:
<add key="CodeBest"
value="AQAAANCMnd8BFdERjHoAwE/
Cl+sBAAAAcWMZ8XhPz0O8jHcS1539LAQAAAACAAAAAAADZgAAqAAAABAAAABdodw0YhWfcC6+
UjUUOiMwAAAAAASAAACgAAAAEAAAALPzjTRnAPt7/W8v38ikHL5IAAAAzctRyEcHxWkzxeqbq/
V9ogaSqS4UxvKC9zmrXUoJ9mwrNZ/
XZ9LgbfcDXIIAXm2DLRCGRHMtrZrp9yledz0n9kgP3b3s+
X8wFAAAANmLu0UfOJdTc4WjlQQgmZElY7Z8"
/>
6. 适当地处理异常
在您所有的代码中加入异常处理,而且所有的异常应该提供最少量的信息。
对于没有处理的异常,应该确保不能使攻击者获得有用的信息。可以通过设置Web.Config中的debug选项和设置CustomError的模式为"RemoteOnly"。
范例:
<compilation defaultLanguage="c#"
debug="false"
/>
<customErrors mode="RemoteOnly"
/>
辅助工具:
微软也为管理员提供了几个辅助工具,用于检测,防护和识别可能的脆弱点。
检测 - HP Scrawlr
http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
防护 – UrlScan 3.0版 Beta
http://learn.iis.net/page.aspx/473/using-urlscan
识别 – Microsoft Source Code Analyzer for SQL Injection
http://support.microsoft.com/kb/954476
更详细的SQL Server最优防护实践信息可参考:
"SQL Server 2005 Security Best Practices - Operational and Administrative Tasks"
http://www.microsoft.com/technet/prodtechnol/sql/2005/sql2005secbestpract.mspx
"How To - Protect from Injection Attacks in ASP.NET"
http://msdn.microsoft.com/en-us/library/bb355989.aspx
"How To - Protect from SQL Injection in ASP.NET"
http://msdn.microsoft.com/en-us/library/ms998271.aspx
"How To - Protect from Cross-Site Scripting in ASP.NET"
http://msdn.microsoft.com/en-us/library/ms998274.aspx
"Design Guidelines"
http://msdn.microsoft.com/en-us/library/aa302420.aspx
"Arch/Design Inspection"
http://msdn.microsoft.com/en-us/library/aa302421.aspx
"Microsoft Security Advisory"
http://www.microsoft.com/technet/security/advisory/954462.mspx