参数真的足以防止Sql注入吗?
https://stackoverflow.com/questions/306668
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我一直在向我的同事和这里宣讲在 SQL 查询中使用参数的好处,尤其是在 .NET 应用程序中。我什至承诺他们可以免受 SQL 注入攻击。
但我开始怀疑这是否属实。是否有任何已知的 SQL 注入攻击能够成功针对参数化查询?例如,您可以发送一个导致服务器缓冲区溢出的字符串吗?
当然,为了确保 Web 应用程序的安全,还需要考虑其他因素(例如清理用户输入等),但现在我正在考虑 SQL 注入。我对针对 MsSQL 2005 和 2008 的攻击特别感兴趣,因为它们是我的主要数据库,但所有数据库都很有趣。
编辑:澄清参数和参数化查询的含义。通过使用参数,我的意思是使用“变量”而不是在字符串中构建 sql 查询。
所以不要这样做:
SELECT * FROM Table WHERE Name = 'a name'
我们这样做:
SELECT * FROM Table WHERE Name = @Name
然后在查询/命令对象上设置@Name 参数的值。
解决方案
占位符足以阻止注入。您可能仍然对缓冲区溢出持开放态度,但这与SQL注入的攻击风格完全不同(攻击向量不是SQL语法,而是二进制)。由于传递的参数都将被正确转义,因此攻击者无法传递将被视为<!>“live <!>”的数据。 SQL。
您不能在占位符中使用函数,也不能将占位符用作列名或表名,因为它们会被转义并作为字符串文字引用。
但是,如果您在动态查询中使用参数作为字符串连接的一部分,则仍然容易受到注入攻击,因为您的字符串不会被转义,但会是文字的。使用其他类型的参数(例如整数)是安全的。
也就是说,如果您使用use输入来设置类似security_level的值,那么有人可以让自己成为系统中的管理员并拥有一个免费的所有人。但这只是基本的输入验证,与SQL注入无关。
其他提示
不,每当您将未经验证的数据插入 SQL 查询时,仍然存在 SQL 注入的风险。
查询参数通过将文字值与 SQL 语法分开来帮助避免这种风险。
'SELECT * FROM mytable WHERE colname = ?'
这很好,但是将数据插入到不能使用查询参数的动态 SQL 查询中还有其他目的,因为它不是 SQL 值,而是表名、列名、表达式或其他语法。
'SELECT * FROM ' + @tablename + ' WHERE colname IN (' + @comma_list + ')'
' ORDER BY ' + @colname'
无论您是使用存储过程还是直接从应用程序代码执行动态 SQL 查询,都没有关系。风险依然存在。
在这些情况下的补救措施是采用 菲奥 如所须:
过滤器输入: 验证数据看起来像合法的整数、表名、列名等。在你插入它们之前。
转义输出: 在这种情况下,“输出”意味着将数据放入 SQL 查询中。我们使用函数来转换 SQL 表达式中用作字符串文字的变量,以便对字符串中的引号和其他特殊字符进行转义。我们还应该使用函数来转换用作表名、列名等的变量。至于其他语法,比如动态编写整个 SQL 表达式,这是一个更复杂的问题。
该线程中关于“参数化查询”的定义似乎存在一些混乱。
- SQL,例如接受参数的存储过程。
- 使用 DBMS 参数集合调用的 SQL。
鉴于前一个定义,许多链接都显示了有效的攻击。
但“正常”的定义是后者。根据这个定义,我不知道有任何 SQL 注入攻击会起作用。这并不意味着不存在,但我还没有看到它。
从评论来看,我表达得不够清楚,所以这里有一个例子,希望能更清楚:
这种方法 是 开放SQL注入
exec dbo.MyStoredProc 'DodgyText'
这种方法 不是 开放SQL注入
using (SqlCommand cmd = new SqlCommand("dbo.MyStoredProc", testConnection))
{
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter newParam = new SqlParameter(paramName, SqlDbType.Varchar);
newParam.Value = "DodgyText";
.....
cmd.Parameters.Add(newParam);
.....
cmd.ExecuteNonQuery();
}
用于构造动态查询的字符串类型(varchar,nvarchar等)的任何sql参数仍然容易受到攻击
否则参数类型转换(例如int,decimal,date等)应该消除任何通过参数注入sql的尝试
编辑:一个例子,其中参数@ p1是一个表名
create procedure dbo.uspBeAfraidBeVeryAfraid ( @p1 varchar(64) )
AS
SET NOCOUNT ON
declare @sql varchar(512)
set @sql = 'select * from ' + @p1
exec(@sql)
GO
如果从下拉列表中选择@ p1,则它是潜在的sql-injection攻击向量;
如果@ p1是以编程方式制定的,没有用户干预的能力那么它就不是潜在的sql-injection攻击载体
缓冲区溢出不是SQL注入。
参数化查询可确保您对SQL注入安全。他们不保证您的SQL服务器中没有可能的漏洞形式的漏洞利用,但没有什么可以保证。
如果以任何形式或形式使用动态sql,则数据不安全,因为权限必须位于表级别。是的,您限制了来自该特定查询的注入攻击的类型和数量,但不限制用户在找到进入系统的方式时可以获得的访问权限,并且您完全可以访问内部用户访问不应该访问的内容为了进行欺诈或窃取个人信息进行销售。任何类型的动态SQL都是一种危险的做法。如果使用非动态存储过程,则可以在过程级别设置权限,除了procs定义的内容(当然除了系统管理员)之外,任何用户都无法执行任何操作。
存储过程可能容易受到溢出/截断的特殊类型的SQL注入攻击,请参阅:数据截断启用注入:
请记住,使用参数可以轻松存储字符串,或者如果您没有任何政策,请说出用户名,<!> quot;);删除表用户; - QUOT <!>;
这本身不会造成任何伤害,但您最好知道在您的应用程序中进一步使用该日期的位置和方式(例如存储在cookie中,稍后检索以执行其他操作。
您可以运行动态sql作为示例
DECLARE @SQL NVARCHAR(4000);
DECLARE @ParameterDefinition NVARCHAR(4000);
SELECT @ParameterDefinition = '@date varchar(10)'
SET @SQL='Select CAST(@date AS DATETIME) Date'
EXEC sp_executeSQL @SQL,@ParameterDefinition,@date='04/15/2011'
