ASP.NET防範SQL注入式攻擊的方法-C#.Net教程-PHP中文網

首頁

後端開發

C#.Net教程

ASP.NET防範SQL注入式攻擊的方法

高洛峰

Jan 21, 2017 pm 03:18 PM

一、什麼是SQL注入式攻擊？

SQL注入式攻擊就是攻擊者把SQL指令插入到Web表單的輸入域或頁面請求的查詢字串，欺騙伺服器執行惡意的SQL指令。在某些表單中，使用者輸入的內容直接用來建構（或影響）動態SQL指令，或作為預存程序的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類別如：

　　⑴ 某個ASP.NET Web應用程式有一個登入頁面，這個登入頁面控制使用者是否有權利存取應用，它要求使用者輸入一個名稱和密碼。

　　⑵ 登入頁面中輸入的內容將直接用來建構動態的SQL指令，或直接用作預存程序的參數。以下是ASP.NET應用建構查詢的一個例子：

System.Text.StringBuilder query = new System.Text.StringBuilder(
　"SELECT * from Users WHERE login = &#39;")
　.Append(txtLogin.Text).Append("&#39; AND password=&#39;")
　.Append(txtPassword.Text).Append("&#39;");

　　⑶ 攻擊者在使用者名字和密碼輸入框中輸入"'或'1'='1"之類的內容。

　　⑷ 使用者輸入的內容提交給伺服器之後，伺服器執行上面的ASP.NET程式碼建構出查詢使用者的SQL指令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL指令變成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' 或 '1'='1'。

　　⑸ 伺服器執行查詢或預存程序，將使用者輸入的識別資訊和伺服器中儲存的識別資訊進行比較。

　　⑹ 由於SQL指令實際上已被注入式攻擊修改，已經無法真正驗證使用者身份，所以系統會錯誤地授權給攻擊者。

　　如果攻擊者知道應用程式會將表單中輸入的內容直接用於驗證身分的查詢，他就會嘗試輸入某些特殊的SQL字串篡改查詢改變其原來的功能，欺騙系統授予存取權限。

　　系統環境不同，攻擊者可能造成的損害也不同，這主要由應用存取資料庫的安全權限決定。如果使用者的帳戶具有管理員或其他比較高級的權限，攻擊者就可能對資料庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。

二、如何防範？

好在要防止ASP.NET應用被SQL注入式攻擊闖入並不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL指令之前，把所有輸入內容過濾一番就可以了。過濾輸入內容可以多種方式進行。

⑴ 對於動態建構SQL查詢的場合，可以使用下面的技巧：

第一：取代單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL指令的意義。再來看前面的例子，「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。

第二：刪除使用者輸入內容中的所有連字符，防止攻擊者建構出類別如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢，因為這類查詢的後半部已經被註解掉，不再有效，攻擊者只要知道一個合法的使用者登入名稱，根本不需要知道使用者的密碼就可以順利取得存取權限。

第三：對於用來執行查詢的資料庫帳戶，限制其權限。用不同的使用者帳號執行查詢、插入、更新、刪除操作。由於隔離了不同帳號可執行的操作，因而也就防止了原本用於執行SELECT指令的地方卻被用來執行INSERT、UPDATE或DELETE指令。

⑵ 用預存程序來執行所有的查詢。

SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得資料庫權限可以限製到只允許特定的預存程序執行，所有的使用者輸入必須遵從被呼叫的預存程序的安全上下文，這樣就很難再發生注入式攻擊了。　　

⑶ 限製表單或查詢字串輸入的長度。

如果用戶的登入名字最多只有10個字符，那麼不要認可表單中輸入的10個以上的字符，這將大大增加攻擊者在SQL命令中插入有害程式碼的難度。

⑷ 檢查使用者輸入的合法性，確信輸入的內容只包含合法的資料。

資料檢查應當在客戶端和伺服器端都執行－之所以要執行伺服器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。

在客戶端，攻擊者完全有可能獲得網頁的原始程式碼，修改驗證合法性的腳本（或直接刪除腳本），然後將非法內容透過修改後的表單提交給伺服器。因此，要確保驗證操作確實已經執行，唯一的方法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象，例如RegularExpressionValidator，它們能夠自動產生驗證用的客戶端腳本，當然也可以插入伺服器端的方法呼叫。如果找不到現成的驗證對象，你可以透過CustomValidator自己建立一個。　　

⑸ 將使用者登入名稱、密碼等資料加密儲存。

加密使用者輸入的數據，然後再將它與資料庫中保存的資料比較，這相當於對使用者輸入的資料進行了「消毒」處理，使用者輸入的資料不再對資料庫有任何特殊的意義，從而也就防止了攻擊者註入SQL指令。 System.Web.Security.FormsAuthentication類別有一個HashPasswordForStoringInConfigFile，非常適合用於消毒輸入資料。　　

⑹ 檢查擷取資料的查詢所回傳的記錄數量。

如果程式只要求回傳一個記錄，但實際回傳的記錄卻超過一行，那就當出錯處理。

以上就是ASP.NET防範SQL注入式攻擊的方法，希望對大家的學習有幫助。

更多ASP.NET防範SQL注入式攻擊的方法相關文章請關注PHP中文網！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

C＃.NET用於網絡，桌面和移動開發Apr 25, 2025 am 12:01 AM

C#和.NET適用於Web、桌面和移動開發。 1)在Web開發中，ASP.NETCore支持跨平台開發。 2)桌面開發使用WPF和WinForms，適用於不同需求。 3)移動開發通過Xamarin實現跨平台應用。

C＃.NET生態系統：框架，庫和工具Apr 24, 2025 am 12:02 AM

C#.NET生態系統提供了豐富的框架和庫，幫助開發者高效構建應用。 1.ASP.NETCore用於構建高性能Web應用，2.EntityFrameworkCore用於數據庫操作。通過理解這些工具的使用和最佳實踐，開發者可以提高應用的質量和性能。

將C＃.NET應用程序部署到Azure/AWS：逐步指南Apr 23, 2025 am 12:06 AM

如何將C#.NET應用部署到Azure或AWS？答案是使用AzureAppService和AWSElasticBeanstalk。 1.在Azure上，使用AzureAppService和AzurePipelines自動化部署。 2.在AWS上，使用AmazonElasticBeanstalk和AWSLambda實現部署和無服務器計算。

C＃.NET：強大的編程語言簡介Apr 22, 2025 am 12:04 AM

C#和.NET的結合為開發者提供了強大的編程環境。 1）C#支持多態性和異步編程，2）.NET提供跨平台能力和並發處理機制，這使得它們在桌面、Web和移動應用開發中廣泛應用。

.NET框架與C＃：解碼術語Apr 21, 2025 am 12:05 AM

.NETFramework是一個軟件框架，C#是一種編程語言。 1..NETFramework提供庫和服務，支持桌面、Web和移動應用開發。 2.C#設計用於.NETFramework，支持現代編程功能。 3..NETFramework通過CLR管理代碼執行，C#代碼編譯成IL後由CLR運行。 4.使用.NETFramework可快速開發應用，C#提供如LINQ的高級功能。 5.常見錯誤包括類型轉換和異步編程死鎖，調試需用VisualStudio工具。