在 .NET 中防止 SQL 注入攻击(SQL Injection)的方法
SQL 注入(SQL Injection)是最常见的数据库攻击方式,其原理为构造巧妙的参数,传入数据库执行时改变原有的含义。
举个例子,如果我们要在数据库用户表 table_user 中查询 group_id 为 3 的用户,代码是这样的:
SELECT * FROM table_user WHERE group_id = 3
其中“3”为参数,通常采用的做法是将前一部分字符串与 3 进行拼接,合并后的 SQL 语句传入数据库直接执行。如果我们更改参数,改为“3 OR 1 = 1”,那么代码就变成这样了:
SELECT * FROM table_user WHERE group_id = 3 OR 1 = 1
上面的代码已经完全绕过了 WHERE 部分的条件限制,与我们的本意不相符合,这种情况在安全方面是非常危险的。
SQL 注入的攻击方式都是通过构造参数来实现的,程序中必须要有拼接字符串产生执行语句的部分才有这方面的问题,所以,最安全的防范 SQL 注入攻击的方式就是把所有访问数据库的部分全部使用存储过程(Store Procedure)来实现,在存储过程内部也不拼接语句。这种方式也是最简单的,对于各种开发语言都有效,然而,如果需要在 .NET 程序设计中避免 SQL 注入,又不想使用存储过程,还有另外一种方式,这就是参数化查询。
ADO.NET 对于参数化查询提供了良好的封装,然而,在 ADO.NET 中,每种数据库的参数化查询语句都不一样,下面就是访问 SQL Server 数据库查询表单的一个语句:
...
string sqlText = "SELECT * FROM table_user WHERE group_id = @group_id";
SqlCommand cmd = new SqlCommand(sqlText, connection);
cmd.Parameters.Add("@group_id", SqlDbType.Int);
cmd.Parameters["@group_id"].Value = 3;
...
在上面的代码中,我们使用参数化查询的方式构造了一个 SqlCommand 对象,指定了参数的类型和值。在这种情况下, ADO.NET 底层将会处理 SQL 注入的问题,保证查询过程是安全的。
下面给出访问 MySQL 数据库查询同样数据的例子:
...
string sqlText = "SELECT * FROM table_user WHERE group_id = ?group_id";
MySqlCommand cmd = new MySqlCommand(sqlText, connection);
cmd.Parameters.Add("?group_id", SqlDbType.Int);
cmd.Parameters["?group_id"].Value = 3;
...
以下是访问 Oracle 数据库查询数据的例子:
...
string sqlText = "SELECT * FROM table_user WHERE group_id = :group_id";
OracleCommand cmd = new OracleCommand(sqlText, connection);
cmd.Parameters.Add("group_id", SqlDbType.Int);
cmd.Parameters["group_id"].Value = 3;
...
上面列出了在 3 种主流数据库中使用 .NET 参数化查询的代码,它们中的大部分都相同,只有一些细微的差别,如果需要开发面向多种数据库的程序,这点很麻烦,相对而言, JAVA 在这方面做的非常好。
0 Comments:
Post a Comment