ASP.NET中如何防範SQL注入式攻擊

网络技术是从1990年代中期发展起来的新技术，它把互联网上分散的资源融为有机整体，实现资源的全面共享和有机协作，使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。当前的互联网只限于信息共享，网络则被认为是互联网发展的第三阶段。

ASP.NET中如何防範SQL注入式攻擊一、什麼是SQL注入式攻擊？所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙伺服器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：一某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和口令。二登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子： System.Text.StringBuilder query = new System.Text.StringBuilder(
"SELECT * from Users WHERE login = ")
.Append(txtLogin.Text).Append(" AND password=")
.Append(txtPassword.Text).Append("");三攻擊者在用戶名字和口令輸入框中輸入"或1=1"之類的內容。四用戶輸入的內容提交給伺服器之後，伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：SELECT * from Users WHERE login = or 1=1 AND password = or 1=1。伍伺服器執行查詢或存儲過程，將用戶輸入的身份資訊和伺服器中保存的身份資訊進行對比。六由於SQL命令實際上已被注入式攻擊修改，已經不能真正驗證用戶身份，所以系統會錯誤地授權給攻擊者。如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字符串篡改查詢改變其原來的功能，欺騙系統授予訪問許可權。系統環境不同，攻擊者可能造成的損害也不同，這主要由應用訪問數據庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權，攻擊者就可能對數據庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。二、如何防範？好在要防止ASP.NET應用被SQL注入式攻擊闖入並不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL命令之前，把所有輸入內容過濾一番就可以了。過濾輸入內容可以按多種方式進行。一對於動態構造SQL查詢的場合，可以使用下面的技術：第一：替換單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。再來看前面的例子，“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”顯然會得到與“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”不同的結果。第二：刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類如“SELECT * from Users WHERE login = mas -- AND password =”之類的查詢，因為這類查詢的後半部分已經被註釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的口令就可以順利獲得訪問許可權。第三：對於用來執行查詢的數據庫帳戶，限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作，因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。二用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫許可權可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。三限製表單或查詢字符串輸入的長度。如果用戶的登錄名字最多只有10個字符，那麼不要認可表單中輸入的10個以上的字符，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。四檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接刪除腳本），然後將非法內容通過修改後的表單提交給伺服器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象，例如RegularExpressionValidator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己創建一個。伍將用戶登錄名稱、口令等數據加密保存。加密用戶輸入的數據，然後再將它與數據庫中保存的數據比較，這相當於對用戶輸入的數據進行了“消毒”處理，用戶輸入的數據不再對數據庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個HashPasswordForStoringInConfigFile，非常適合於對輸入數據進行消毒處理。六檢查提取數據的查詢所返回的記錄數量。如果程式只要求返回一個記錄，但實際返回的記錄卻超過一行

网络的神奇作用吸引着越来越多的用户加入其中，正因如此，网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......，各项技术都需要适时应势，对应发展，这正是网络迅速走向进步的催化剂。

关键词：ASP.NET中如何防範SQL注入式攻擊

争怎路由网：是一个主要分享无线路由器安装设置经验的网站，汇总WiFi常见问题的解决方法。争怎路由网换路由器新买无法上网管理页面信号腾达路由器网站首页不能上网路由器密码 WiFi设置路由器设置 TP-Link 腾达路由器软件教程游戏教程系统下载您当前所在位置：下载首页 -> 杀毒教程
ASP.NET中如何防範SQL注入式攻擊时间：2024/3/21作者：未知来源：争怎路由网人气：网络技术是从1990年代中期发展起来的新技术，它把互联网上分散的资源融为有机整体，实现资源的全面共享和有机协作，使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。当前的互联网只限于信息共享，网络则被认为是互联网发展的第三阶段。 ASP.NET中如何防範SQL注入式攻擊一、什麼是SQL注入式攻擊？所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙伺服器執行惡意的SQL命令。在某些表單中，用戶輸入的內容直接用來構造（或者影響）動態SQL命令，或作為存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：一某個ASP.NET Web應用有一個登錄頁面，這個登錄頁面控制著用戶是否有權訪問應用，它要求用戶輸入一個名稱和口令。二登錄頁面中輸入的內容將直接用來構造動態的SQL命令，或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子： System.Text.StringBuilder query = new System.Text.StringBuilder( "SELECT * from Users WHERE login = ") .Append(txtLogin.Text).Append(" AND password=") .Append(txtPassword.Text).Append("");三攻擊者在用戶名字和口令輸入框中輸入"或1=1"之類的內容。四用戶輸入的內容提交給伺服器之後，伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：SELECT * from Users WHERE login = or 1=1 AND password = or 1=1。伍伺服器執行查詢或存儲過程，將用戶輸入的身份資訊和伺服器中保存的身份資訊進行對比。六由於SQL命令實際上已被注入式攻擊修改，已經不能真正驗證用戶身份，所以系統會錯誤地授權給攻擊者。如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字符串篡改查詢改變其原來的功能，欺騙系統授予訪問許可權。系統環境不同，攻擊者可能造成的損害也不同，這主要由應用訪問數據庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權，攻擊者就可能對數據庫的表執行各種他想要做的操作，包括添加、刪除或更新數據，甚至可能直接刪除表。二、如何防範？好在要防止ASP.NET應用被SQL注入式攻擊闖入並不是一件特別困難的事情，只要在利用表單輸入的內容構造SQL命令之前，把所有輸入內容過濾一番就可以了。過濾輸入內容可以按多種方式進行。一對於動態構造SQL查詢的場合，可以使用下面的技術：第一：替換單引號，即把所有單獨出現的單引號改成兩個單引號，防止攻擊者修改SQL命令的含義。再來看前面的例子，“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”顯然會得到與“SELECT * from Users WHERE login = or 1=1 AND password = or 1=1”不同的結果。第二：刪除用戶輸入內容中的所有連字符，防止攻擊者構造出類如“SELECT * from Users WHERE login = mas -- AND password =”之類的查詢，因為這類查詢的後半部分已經被註釋掉，不再有效，攻擊者只要知道一個合法的用戶登錄名稱，根本不需要知道用戶的口令就可以順利獲得訪問許可權。第三：對於用來執行查詢的數據庫帳戶，限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作，因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。二用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫許可權可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。三限製表單或查詢字符串輸入的長度。如果用戶的登錄名字最多只有10個字符，那麼不要認可表單中輸入的10個以上的字符，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。四檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接刪除腳本），然後將非法內容通過修改後的表單提交給伺服器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象，例如RegularExpressionValidator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象，你可以通過CustomValidator自己創建一個。伍將用戶登錄名稱、口令等數據加密保存。加密用戶輸入的數據，然後再將它與數據庫中保存的數據比較，這相當於對用戶輸入的數據進行了“消毒”處理，用戶輸入的數據不再對數據庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個HashPasswordForStoringInConfigFile，非常適合於對輸入數據進行消毒處理。六檢查提取數據的查詢所返回的記錄數量。如果程式只要求返回一個記錄，但實際返回的記錄卻超過一行网络的神奇作用吸引着越来越多的用户加入其中，正因如此，网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......，各项技术都需要适时应势，对应发展，这正是网络迅速走向进步的催化剂。关键词：ASP.NET中如何防範SQL注入式攻擊	*软件教程* 聊天工具办公软件杀毒教程系统工具图形图像电脑学习应用软件网络软件苹果应用多媒体区网站教程其它教程技术开发安卓教程 *人气排行* 1Windows 0day EternalBlue(永恒之蓝... 22017好用的公共DNS推荐 3腾讯王卡1元1天宽带活动正式开发办理！ 4学生玩家需谨慎 “身份证生成器”木马来袭 5如何关闭防火墙 6无线网络连接上但上不了网处理方法 7谷歌访问助手Chrome版插件插入方式\|如何使用谷歌访问助... 8是怕不给礼金？伴娘太敬业胸挂二维码 9如何避开ONION勒索软件 ONION勒索软件如何防范 10华平终端端口关闭方法设置说明 *推荐资讯* 1css中focus选择器有什么用 2肥佬影音下载电影的图文步骤 3用WebEasyMail架构Web邮件服务器(1) 4如何用PQ8.05对硬盘进行分区 5好友以及群成员的Q龄查看技巧 6高手处理QQ视频没声音有绝招 7红包店如何开通微信红包店在什么地方里设置 8横行于Internet 无限你的局域网—VNN 9iOS 11.3 Beta 5更新了什么 iOS 11.3... 10Win7电脑声音忽大忽小如何处理？
Copyright © 2012-2018 争怎路由网(http://www.zhengzen.com) .All Rights Reserved 网站地图友情链接免责声明：本站资源均来自互联网收集如有侵犯到您利益的地方请及时联系管理删除，敬请见谅! QQ:1006262270 邮箱:kfyvi376850063@126.com 手机版