ASP.NET网站程序防SQL注入式攻击方法
所谓SQL注入式攻击 就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串 欺骗服务器执行恶意的SQL命令 在某些表单中 用户输入的内容直接用来构造(或者影响)动态SQL命令 或作为存储过程的输入参数 这类表单特别容易受到SQL注入式攻击 常见的SQL注入式攻击过程类如
⑴ 某个 Web应用有一个登录页面 这个登录页面控制着用户是否有权访问应用 它要求用户输入一个名称和密码
⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令 或者直接用作存储过程的参数 下面是ASP NET应用构造查询的一个例子
System Text StringBuilder query = new System Text StringBuilder( SELECT * from Users WHERE login = ) Append(txtLogin Text) Append( AND password= ) Append(txtPassword Text) Append( );
⑶ 攻击者在用户名字和密码输入框中输入 或 = 之类的内容
⑷ 用户输入的内容提交给服务器之后 服务器运行上面的ASP NET代码构造出查询用户的SQL命令 但由于攻击者输入的内容非常特殊 所以最后得到的SQL命令变成 SELECT * from Users WHERE login = or = AND password = or =
⑸ 服务器执行查询或存储过程 将用户输入的身份信息和服务器中保存的身份信息进行对比
⑹ 由于SQL命令实际上已被注入式攻击修改 已经不能真正验证用户身份 所以系统会错误地授权给攻击者
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询 他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能 欺骗系统授予访问权限
系统环境不同 攻击者可能造成的损害也不同 这主要由应用访问数据库的安全权限决定 如果用户的帐户具有管理员或其他比较高级的权限 攻击者就可能对数据库的表执行各种他想要做的操作 包括添加 删除或更新数据 甚至可能直接删除表
二 如何防范?
好在要防止ASP NET应用被SQL注入式攻击闯入并不是一件特别困难的事情 只要在利用表单输入的内容构造SQL命令之前 把所有输入内容过滤一番就可以了 过滤输入内容可以按多种方式进行
⑴ 对于动态构造SQL查询的场合 可以使用下面的技术
第一 替换单引号 即把所有单独出现的单引号改成两个单引号 防止攻击者修改SQL命令的含义 再来看前面的例子 SELECT * from Users WHERE login = or = AND password = or = 显然会得到与 SELECT * from Users WHERE login = or = AND password = or = 不同的结果
第二 删除用户输入内容中的所有连字符 防止攻击者构造出类如 SELECT * from Users WHERE login = mas AND password = 之类的查询 因为这类查询的后半部分已经被注释掉 不再有效 攻击者只要知道一个合法的用户登录名称 根本不需要知道用户的密码就可以顺利获得访问权限
第三 对于用来执行查询的数据库帐户 限制其权限 用不同的用户帐户执行查询 插入 更新 删除操作 由于隔离了不同帐户可执行的操作 因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT UPDATE或DELETE命令
⑵ 用存储过程来执行所有的查询 SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击 此外 它还使得数据库权限可以限制到只允许特定的存储过程执行 所有的用户输入必须遵从被调用的存储过程的安全上下文 这样就很难再发生注入式攻击了
⑶ 限制表单或查询字符串输入的长度 如果用户的登录名字最多只有 个字符 那么不要认可表单中输入的 个以上的字符 这将大大增加攻击者在SQL命令中插入有害代码的难度
⑷ 检查用户输入的合法性 确信输入的内容只包含合法的数据 数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证 是为了弥补客户端验证机制脆弱的安全性
在客户端 攻击者完全有可能获得网页的源代码 修改验证合法性的脚本(或者直接删除脚本) 然后将非法内容通过修改后的表单提交给服务器 因此 要保证验证操作确实已经执行 唯一的办法就是在服务器端也执行验证 你可以使用许多内建的验证对象 例如RegularExpressionValidator 它们能够自动生成验证用的客户端脚本 当然你也可以插入服务器端的方法调用 如果找不到现成的验证对象
你可以通过CustomValidator自己创建一个
⑸ 将用户登录名称 密码等数据加密保存 加密用户输入的数据 然后再将它与数据库中保存的数据比较 这相当于对用户输入的数据进行了 消毒 处理 用户输入的数据不再对数据库有任何特殊的意义 从而也就防止了攻击者注入SQL命令 System Web Security FormsAuthentication类有一个HashPasswordForStoringInConfigFile 非常适合于对输入数据进行消毒处理
lishixinzhi/Article/program/net/201311/13891
山下智久除了百度贴吧还有什么网站之专门可以看山P的啊?
http:\/\/www.lovenewsp.com\/bbs\/ 然后还有CP站,也就是P和别人的站 山真海蔚(山P,斗真)http:\/\/www.tomapi.net\/bbs\/ pinland(山P,赤西仁)http:\/\/www.pinland.net\/index.php 青春之光(山P,龟梨)http:\/\/www.pkamigo.com\/ 最后是全部J家的网站 首先是XQ http:\/\/www.johnnys-...
跪求几个介绍日本视觉系摇滚乐队的网站~越多越好~ 谢拉
http:\/\/www.prodezza.net\/byakuraKURO X HIMEhttp:\/\/hp.xxxxxxx.jp\/croxhime\/LATENCY DEITYhttp:\/\/pksp.jp\/latency-deity\/###分割#非所有成员都是娘的女团###SEISYUN Shampoohttp:\/\/www.ldandk.com\/seisyun\/seisyun.htmlDecoLa Hoppinghttp:\/\/x11.peps.jp\/decopinkitikuikkahttp:\/\/kitikuikka.com\/HEAR...
.net c#编程
首先来改一下存储过程“前面的不说了,就说begin和End之间的 if not exists (select fullname from name where fullname=@name)begin insert into name(firstname ,secondname ,fullname)values(@firstname ,@secondname ,@fullname)select "添加成功!" result end else select "信息已存在!" ...
新.Net开发必备工具详解之Snippet Compiler
如果我们想编写VB NET语言的代码片段 而不是C#的话 可以在Option选项卡中进行设置 如下图所示 Snippet Compiler还有一个新的特性是 它可以支持两个版本的 NET Framework 分别为 NET Framework with SP 和 NET Framework 在编译时可以根据实际情况而选用 在默认情况下 Snippet Compiler添加了一些常用的程序...
SP业务是什么意思?
SP,Service Provider服务提供商的简称 。电信增值业务是指凭借公用电信网的资源和其它通信设备而开发的附加通信业务,其实现的价值使原有网路的经济效益或功能价值增高。有时称之为增强型业务。 增值业务广义上分成两大类:一是以增值网(VAN)方式出现的业务。增值网可凭借从公用网租用的传输设备,使用...
关于sj的网站
7.οoΟSmile--始源家族Οοo http:\/\/www.siwonlove.net\/ 8.Special E-Teuk | 特别的李特 http:\/\/www.sp-teuk.com\/ 9.ˇ☆┈┋李特中国后援会 ┋┈☆ˇ http:\/\/www.loveteuk.com\/ 10.. o O 特特特Cute特~ http:\/\/loveteuk.dd.topzj.com\/ 11.金希澈中国后援会 http:\/\/www....
哪种ASP书籍最好呢?最好能告诉我书名。谢谢
ASP.NET会计系统设计与项目开发 ¥40.85元 本书以一种会计系统的设计、构建和实现为线索,使用VB.NET+ASP. NET+SQL Server+Excel技术,从面向对象系统的分析、设计,到会计系统设计的实现循序渐进地进行讲述。读者通过本书的学习,可以掌握VB.NET和A SP.NET的程序技巧和设计实用应用系统的规划...
SP手机的连接方 安全wap 单位 Internet WAP这些名词是什么意思?_百度...
1、wap连接的设置:连接方:WAP网络 连接到:安全WAP网络 代理服务器:10.0.0.172 端口:9201 类型:WAP 2、www连接的设置:连接方:WAP网络 连接到:Internet 代理服务器:10.0.0.172 端口:80 类型:HTTP 看了就应该知道sp手机连接方就是你手机上网连接到哪,再转到你的目标网站;或者说经过...
svchost.exe应用程序错误
15 系统本身有问题 有时候操作系统本身也会有BUG,要注意安装官方发行的更新程序,象SP的补丁,最好打上.如果还不行,重装系统,或更换其他版本的系统。〔又一说〕在控制面板的添加\/删除程序中看看你是否安装了微软NET.Framework,如果已经安装了,可以考虑卸载它,当然如果你以后在其它程序需要NET.Framework时候,可以再重新...
推荐几个关于乒乓球的网站
www.alltt.com 乒乓球视频,非常全。不用注册,下载免费。乒羽资讯网的乒羽视频里面有很多比赛和教学视频,非会员下载的范围较小,视频的清晰度也较差,会员可以下载全部的录像,清晰度也较好,但需要缴纳一定的费用。网址如下http:\/\/www.cttbi.net\/sp\/ 另外还可以使用emule软件搜索下载,上面的录像数...
贾峡盐酸: 分步实施提要 第一步. 使用ASP.NET 请求校验. 第二步. 使用权用约束输入. 第三步. 对不安全的输入进行编码. 第四步. 对Sql语句使用命令参数方式. 第五步. 验证ASP.NET的错误没有被返回客户端. 额外的资源 这个具体网址 你去看看 里面有很详细的介绍 http://bbs.51aspx.com/showtopic.aspx?topicid=4784
隰县15580653264: asp 防止SQL注入方式 - ?
贾峡盐酸: 这个问题曾遇到过,以解决.具体的网上有很多,现贴出来,希望对你有所帮助.<br>如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们...
隰县15580653264: 在ASP.Net怎么防止SQL注入? - ?
贾峡盐酸: <script> 这样的标签 在插入数据库的时候 一定要替换成掉的写一个方法,用来处理 文本编辑器返回的字符 /// <summary> /// 返回文本编辑器替换后的字符串 /// </summary> /// <param name="str">要替换的字符串</param> /// <returns></returns>...
隰县15580653264: asp.net如何有效防止SQL注入攻击 - ?
贾峡盐酸: 1. 以最少的SQl语句获取表中所有数据,存放到本地内存中 例如:select *from user 这句一般就不会被SQl注入,一般是安全的 2. 将上面的表存放到datatable中. 3. 在datatable中检索有用的数据,然后添加到一个List<user>中,List<user>中就存...
隰县15580653264: asp.net中怎样防止SQL语句的注入,比如说登录的SQL语句怎么写. - ?
贾峡盐酸: 把参数封装到sqlparameter数组中..把sqlparameter数组类型作为参数类型,如,public static User GetAdminUserByLoginId(string loginId) { string sql = "SELECT * FROM users WHERE LoginId = @LoginId and UserRoleId=@RoleId"; ...
隰县15580653264: asp.net防止sql攻击这样行不?十万火急啊 谢谢 - ?
贾峡盐酸: 用存储过程可以预防,只要定义好接收的数据类型,传递过来的参数都是这个数据类型. 或者在输入的时候不让输入这些数据库敏感的字符串.单引号,--,等等.过滤掉.
隰县15580653264: 在ASP中怎样防SQL注入??
贾峡盐酸: 因为在做网站时使用QueryString传值,所以别人在浏览网站时就可以在?后面加上一段SQL语句,如果你编代码时没有处理就会执行该SQL 如你写这样代码: sql=“select * from stu where id=” & request.QueryString("id") rs.open sql,conn,2,3 那么别人就可以在网址上改 ?id=1 and psw='1',这样别人就执行了一个密码验证 知道原理就能想到怎么防止了,方法很多.介绍QueryString验证方法:1、数值数据类型;2、字符内无空格;3、字符长度 ..谢谢采纳
隰县15580653264: 求教高手 - -----Asp.Net中如何防止SQL注入,即如何过滤关键字 - ?
贾峡盐酸: 替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义.再来看前面的例子,"select * from Users where login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'"显然会得到与...
隰县15580653264: ASP程序防止SQL注入的最好办法./ - ?
贾峡盐酸: ") '回车str=replace(str,"chr(13)","") '回车str=replace(str,"chr(32)"," ") '空格str=replace(str,"chr(34)",""") '双引号str=replace(str,"chr(39)","'") '单引号str=Replace(str, "script", "script")'scriptstr=Replace(str, "...
隰县15580653264: asp+sql 如何有效的防止sql注入 - ?
贾峡盐酸: SQL注入,一般由 request 提交而来,所以过滤 request参数即可.比如,正常获取 id 为 request("id") ,获取后,对其进行强制转为int型,如 id = cint(request.querystring("id")) 同理,凡是数字型的,一律进行判断是否数字或强制转换.如果是字符型的,要写入SQL语句的,一律对单引号进行转义,如 SQLserver和Access中,替换成两个单引号.MYSQL中替换成 \' 等.可以写成一个固定的函数来代替request,可以达到防止注入的目的.网上也有一些通用的过滤程序,可以解决大部分问题,但更多的时候,也并不能防止注入的发生,同时,也会给正常提交带来一些麻烦.
