甚至在.NET中使用SQLParameter時的SQL注入的例子？

create procedure dbo.uspBeAfraidBeVeryAfraid (@p1 varchar(64)) 
AS 
    SET NOCOUNT ON 
    declare @sql varchar(512) 
    set @sql = 'select * from ' + @p1 
    exec(@sql) 
GO

下面是一些進一步閱讀...

來源

2009-09-15 22:08:11 RSolberg

謝謝但這些鏈接都沒有工作示例。我已經熟悉使用參數化查詢的事實。因此我的問題是如何繞過它。 – 2009-09-15 22:23:32

@Tony：你看過這裏的其他答案的鏈接嗎？ Lowe先生在第二張專輯中有一個很好的例子。 – RSolberg 2009-09-15 22:24:23

嘗試搜索ADO.net中的漏洞，可能存在安全漏洞。

來源

2009-09-15 22:12:13

我正在尋找具體的例子。 – 2009-09-15 22:18:17

一個具體的例子...

create procedure dbo.spVulnerable 
@firstname varchar(200) 
as 
exec ('select id from tblPerson where firstname = ''' + @firstname + '''') 
go

我可能已經得到了語法錯誤，但不管你怎麼參數@firstName仍然容易受到類似以下內容：

"Joe' or 1=1"

由於只要您使用動態SQL，您就可能會受到SQL注入的攻擊。除了使用參數化的SQL之外，唯一的解決方案是將您的輸入列入白名單（或者，如果您感覺很勇敢，請嘗試去除危險字符的輸入）。

來源

2009-09-15 22:41:06 Mayo

假設你有一個產品目錄，爲您的網絡規模和搜索頁允許按產品名稱，描述，顏色和大小進行搜索（說你賣胸罩）：

create table [products] (
    product_id int identity(1,1) not null primary key 
    , name varchar(256) 
    , description varchar(max) 
    , color varchar(256) 
    , size varchar(256)); 
GO 

create procedure usp_dynamicSearch 
    @product varchar(256) = NULL 
    , @description varchar(256) = NULL 
    , @color varchar(256) = NULL 
    , @size varchar(256) = NULL 
as 
begin 
    set nocount on; 
    declare @sql nvarchar(max) 
     , @and nvarchar(5); 
    set @sql = N'SELECT 
     product_id, name, description, color, size 
     FROM products 
     WHERE '; 
    set @and = N''; 
    if (@product is not null) 
    begin 
     set @sql = @sql + N'name LIKE ''' + @product + N''''; 
     set @and = N' AND '; 
    end 
    if (@description is not null) 
    begin 
     set @sql = @sql + @and + N'description LIKE ''' + @description + N''''; 
     set @and = N' AND '; 
    end 
    if (@color is not null) 
    begin 
     set @sql = @sql + @and + N'color = ''' + @color + N''''; 
     set @and = N' AND '; 
    end 
    if (@size is not null) 
    begin 
     set @sql = @sql + @and + N'size = ''' + @size + N''''; 
    end 
    exec sp_executesql @sql; 
end 
GO

您可以使用一個存儲過程，動態地構造一個適用於搜索的SQL。您可以通過傳遞參數來調用它：

exec usp_dynamicSearch @color = N'Red', @size = N'58-DD';

由於程序構建動態SQL中一個不小心的方式，仍然是開放的SQL注入：

exec usp_dynamicSearch @color = N'Red', @size = N'''; 
INSERT INTO products (name, description) 
values (''31337'', ''haxorz!''); 
--';

不需要的產品目錄中的sinserted（使這是一個攻擊...）。在這種情況下，此時，相應的解決辦法是在動態SQL中使用參數以及進一步傳遞參數給sp_executesql調用：

alter procedure usp_dynamicSearch 
    @product varchar(256) = NULL 
    , @description varchar(256) = NULL 
    , @color varchar(256) = NULL 
    , @size varchar(256) = NULL 
as 
begin 
    set nocount on; 
    declare @sql nvarchar(max) 
     , @and nvarchar(5); 
    set @sql = N'SELECT 
     product_id, name, description, color, size 
     FROM products 
     WHERE '; 
    set @and = N''; 
    if (@product is not null) 
    begin 
     set @sql = @sql + N'name LIKE @product'; 
     set @and = N' AND '; 
    end 
    if (@description is not null) 
    begin 
     set @sql = @sql + @and + N'description LIKE @description'; 
     set @and = N' AND '; 
    end 
    if (@color is not null) 
    begin 
     set @sql = @sql + @and + N'color = @color'; 
     set @and = N' AND '; 
    end 
    if (@size is not null) 
    begin 
     set @sql = @sql + @and + N'size = @size'; 
    end 
    exec sp_executesql @sql , N'@product varchar(256) 
     , @description varchar(256) 
     , @color varchar(256) 
     , @size varchar(256)' 
     , @product, @description, @color, @size; 
end 
GO

因此sp_executesql的動態SQL是主要關注的問題。除此之外，還有各種系統過程構建動態SQL，並且歷史上有些被證明是易受攻擊的，特別是在SQL 2000上。

來源

2009-09-15 22:55:26

甚至在.NET中使用SQLParameter時的SQL注入的例子？

回答

相關問題