91网首页-91网页版-91网在线观看-91网站免费观看-91网站永久视频-91网站在线播放

始終通過(guò)測(cè)試類(lèi)型、長(zhǎng)度、格式和范圍來(lái)驗(yàn)證用戶(hù)輸入。實(shí)現(xiàn)對(duì)惡意輸入的預(yù)防時(shí)，請(qǐng)注意應(yīng)用程序的體系結(jié)構(gòu)和部署方案。請(qǐng)記住，為在安全環(huán)境下運(yùn)行而設(shè)計(jì)的程序可能被復(fù)制到不安全的環(huán)境中。以下建議應(yīng)被視為最佳做法：

• 對(duì)應(yīng)用程序接收的數(shù)據(jù)不做任何有關(guān)大小、類(lèi)型或內(nèi)容的假設(shè)。例如，您應(yīng)該進(jìn)行以下評(píng)估：
  
  
  
  
  • 如果一個(gè)用戶(hù)在需要郵政編碼的位置無(wú)意中或惡意地輸入了一個(gè) 10 MB 的 MPEG 文件，應(yīng)用程序會(huì)做出什么反應(yīng)？
    
    
  • 如果在文本字段中嵌入了一個(gè) DROP TABLE 語(yǔ)句，應(yīng)用程序會(huì)做出什么反應(yīng)？
    
  
  
• 測(cè)試輸入的大小和數(shù)據(jù)類(lèi)型，強(qiáng)制執(zhí)行適當(dāng)?shù)南拗?。這有助于防止有意造成的緩沖區(qū)溢出。
  
  
• 測(cè)試字符串變量的內(nèi)容，只接受所需的值。拒絕包含二進(jìn)制數(shù)據(jù)、轉(zhuǎn)義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入，防止某些緩沖區(qū)溢出攻擊。
  
  
• 使用 XML 文檔時(shí)，根據(jù)數(shù)據(jù)的架構(gòu)對(duì)輸入的所有數(shù)據(jù)進(jìn)行驗(yàn)證。
  
  
• 絕不直接使用用戶(hù)輸入內(nèi)容來(lái)生成 Transact-SQL 語(yǔ)句。
  
  
• 使用存儲(chǔ)過(guò)程來(lái)驗(yàn)證用戶(hù)輸入。
  
  
• 在多層環(huán)境中，所有數(shù)據(jù)都應(yīng)該在驗(yàn)證之后才允許進(jìn)入可信區(qū)域。未通過(guò)驗(yàn)證過(guò)程的數(shù)據(jù)應(yīng)被拒絕，并向前一層返回一個(gè)錯(cuò)誤。
  
  
• 實(shí)現(xiàn)多層驗(yàn)證。對(duì)無(wú)目的的惡意用戶(hù)采取的預(yù)防措施對(duì)堅(jiān)定的攻擊者可能無(wú)效。更好的做法是在用戶(hù)界面和所有跨信任邊界的后續(xù)點(diǎn)上驗(yàn)證輸入。
  例如，在客戶(hù)端應(yīng)用程序中驗(yàn)證數(shù)據(jù)可以防止簡(jiǎn)單的腳本注入。但是，如果下一層假設(shè)其輸入已被驗(yàn)證，則任何可以跳過(guò)客戶(hù)端的惡意用戶(hù)就可能不受限制地訪問(wèn)系統(tǒng)。
  
  
• 絕不串聯(lián)未驗(yàn)證的用戶(hù)輸入。字符串串聯(lián)是腳本注入的主要輸入點(diǎn)。
  
  
• 在可能據(jù)以構(gòu)造文件名的字段中，不接受下列字符串：AUX、CLOCK$、COM1 到 COM8、CON、CONFIG$、LPT1 到 LPT8、NUL 以及 PRN。
  

如果可能，拒絕包含以下字符的輸入。

使用類(lèi)型安全的 SQL 參數(shù)

SQL Server 中的 Parameters 集合提供了類(lèi)型檢查和長(zhǎng)度驗(yàn)證。如果使用 Parameters 集合，則輸入將被視為文字值而不是可執(zhí)行代碼。使用 Parameters 集合的另一個(gè)好處是可以強(qiáng)制執(zhí)行類(lèi)型和長(zhǎng)度檢查。范圍以外的值將觸發(fā)異常。以下代碼段顯示了如何使用 Parameters 集合：

復(fù)制代碼

SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin", conn);

myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;

SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",

SqlDbType.VarChar, 11);

parm.Value = Login.Text;

在此示例中，@au_id 參數(shù)被視為文字值而不是可執(zhí)行代碼。將對(duì)此值進(jìn)行類(lèi)型和長(zhǎng)度檢查。如果 @au_id 值不符合指定的類(lèi)型和長(zhǎng)度約束，則將引發(fā)異常。

在存儲(chǔ)過(guò)程中使用參數(shù)化輸入

存儲(chǔ)過(guò)程如果使用未篩選的輸入，則可能容易受 SQL 注入攻擊。例如，以下代碼容易受到攻擊：

復(fù)制代碼

SqlDataAdapter myCommand =

new SqlDataAdapter("LoginStoredProcedure '" +

Login.Text + "'", conn);

如果使用存儲(chǔ)過(guò)程，則應(yīng)使用參數(shù)作為存儲(chǔ)過(guò)程的輸入。

在動(dòng)態(tài) SQL 中使用參數(shù)集合

如果不能使用存儲(chǔ)過(guò)程，您仍可使用參數(shù)，如以下代碼示例所示：

復(fù)制代碼

SqlDataAdapter myCommand = new SqlDataAdapter(

"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id", conn);

SQLParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",

SqlDbType.VarChar, 11);

Parm.Value = Login.Text;

篩選輸入

篩選輸入可以刪除轉(zhuǎn)義符，這也可能有助于防止 SQL 注入。但由于可引起問(wèn)題的字符數(shù)量很大，因此這并不是一種可靠的防護(hù)方法。以下示例可搜索字符串分隔符。

復(fù)制代碼

private string SafeSqlLiteral(string inputSQL)

{

return inputSQL.Replace("'", "''");

}

LIKE 子句

請(qǐng)注意，如果要使用 LIKE 子句，還必須對(duì)通配符字符進(jìn)行轉(zhuǎn)義：

復(fù)制代碼

s = s.Replace("[", "[[]");

s = s.Replace("%", "[%]");

s = s.Replace("_", "[_]");

應(yīng)檢查所有調(diào)用 EXECUTE、EXEC 或 sp_executesql 的代碼?？梢允褂妙?lèi)似如下的查詢(xún)來(lái)幫助您標(biāo)識(shí)包含這些語(yǔ)句的過(guò)程。

SELECT object_Name(id) FROM syscomments

WHERE UPPER(text) LIKE '%EXECUTE (%'

OR UPPER(text) LIKE '%EXECUTE (%'

OR UPPER(text) LIKE '%EXECUTE (%'

OR UPPER(text) LIKE '%EXECUTE (%'

OR UPPER(text) LIKE '%EXEC (%'

OR UPPER(text) LIKE '%EXEC (%'

OR UPPER(text) LIKE '%EXEC (%'

OR UPPER(text) LIKE '%EXEC (%'

OR UPPER(text) LIKE '%SP_EXECUTESQL%'

使用 QUOTENAME() 和 REPLACE() 包裝參數(shù)

由數(shù)據(jù)截?cái)鄦⒂玫淖⑷?/H3>

如果分配給變量的任何動(dòng)態(tài) Transact-SQL 比為該變量分配的緩沖區(qū)大，那么它將被截?cái)唷Ｈ绻粽吣軌蛲ㄟ^(guò)將意外長(zhǎng)度的字符串傳遞給存儲(chǔ)過(guò)程來(lái)強(qiáng)制執(zhí)行語(yǔ)句截?cái)?，則該攻擊者可以操作該結(jié)果。例如，以下腳本創(chuàng)建的存儲(chǔ)過(guò)程容易受到由截?cái)鄦⒂玫淖⑷牍簟?/P>

CREATE PROCEDURE sp_MySetPassword

@loginname sysname,

@old sysname,

@new sysname

AS

-- Declare variable.

-- Note that the buffer here is only 200 characters long.

DECLARE @command varchar(200)

-- Construct the dynamic Transact-SQL.

-- In the following statement, we need a total of 154 characters

-- to set the password of 'sa'.

-- 26 for UPDATE statement, 16 for WHERE clause, 4 for 'sa', and 2 for

-- quotation marks surrounded by QUOTENAME(@loginname):

-- 200 – 26 – 16 – 4 – 2 = 154.

-- But because @new is declared as a sysname, this variable can only hold

-- 128 characters.

-- We can overcome this by passing some single quotation marks in @new.

SET @command= 'update Users set password=' + QUOTENAME(@new, '''') + ' where username=' + QUOTENAME(@loginname, '''') + ' AND password = ' + QUOTENAME(@old, '''')

 

-- Execute the command.

EXEC (@command)

GO

通過(guò)向 128 個(gè)字符的緩沖區(qū)傳遞 154 個(gè)字符，攻擊者便可以在不知道舊密碼的情況下為 sa 設(shè)置新密碼。

EXEC sp_MySetPassword 'sa', 'dummy', '123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012'''''''''''''''''''''''''''''''''''''''''''''''''''

因此，應(yīng)對(duì)命令變量使用較大的緩沖區(qū)，或直接在 EXECUTE 語(yǔ)句內(nèi)執(zhí)行動(dòng)態(tài) Transact-SQL。

使用 QUOTENAME(@variable, '''') 和 REPLACE() 時(shí)的截?cái)?/H3>

如果 QUOTENAME() 和 REPLACE() 返回的字符串超過(guò)了分配的空間，該字符串將被自動(dòng)截?cái)?。以下示例中?chuàng)建的存儲(chǔ)過(guò)程顯示了可能出現(xiàn)的情況。

CREATE PROCEDURE sp_MySetPassword

@loginname sysname,

@old sysname,

@new sysname

AS

 

-- Declare variables.

DECLARE @login sysname

DECLARE @newpassword sysname

DECLARE @oldpassword sysname

DECLARE @command varchar(2000)

 

-- In the following statements, the data stored in temp variables

-- will be truncated because the buffer size of @login, @oldpassword,

-- and @newpassword is only 128 characters, but QUOTENAME() can return

-- up to 258 characters.

 

SET @login = QUOTENAME(@loginname, '''')

SET @oldpassword = QUOTENAME(@old, '''')

SET @newpassword = QUOTENAME(@new, '''')

 

-- Construct the dynamic Transact-SQL.

-- If @new contains 128 characters, then @newpassword will be '123... n

-- where n is the 127th character.

-- Because the string returned by QUOTENAME() will be truncated,

-- it can be made to look like the following statement:

-- UPDATE Users SET password ='1234. . .[127] WHERE username=' -- other stuff here

SET @command = 'UPDATE Users set password = ' + @newpassword

+ ' where username =' + @login + ' AND password = ' + @oldpassword;

 

-- Execute the command.

EXEC (@command)

GO

因此，以下語(yǔ)句將把所有用戶(hù)的密碼都設(shè)置為在前面的代碼中傳遞的值。

EXEC sp_MyProc '--', 'dummy', '12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678'

使用 REPLACE() 時(shí)，可以通過(guò)超出分配的緩沖區(qū)空間來(lái)強(qiáng)迫字符串截?cái)?。以下示例中?chuàng)建的存儲(chǔ)過(guò)程顯示了可能出現(xiàn)的情況。

CREATE PROCEDURE sp_MySetPassword

@loginname sysname,

@old sysname,

@new sysname

AS

-- Declare variables.

DECLARE @login sysname

DECLARE @newpassword sysname

DECLARE @oldpassword sysname

DECLARE @command varchar(2000)

-- In the following statements, data will be truncated because

-- the buffers allocated for @login, @oldpassword and @newpassword

-- can hold only 128 characters, but QUOTENAME() can return

-- up to 258 characters.

 

SET @login = REPLACE(@loginname, '''', '''''')

SET @oldpassword = REPLACE(@old, '''', '''''')

SET @newpassword = REPLACE(@new, '''', '''''')

 

-- Construct the dynamic Transact-SQL.

-- If @new contains 128 characters, @newpassword will be '123...n

-- where n is the 127th character.

-- Because the string returned by QUOTENAME() will be truncated, it

-- can be made to look like the following statement:

-- UPDATE Users SET password='1234…[127] WHERE username=' -- other stuff here

 

SET @command= 'update Users set password = ''' + @newpassword + ''' where username='''

+ @login + ''' AND password = ''' + @oldpassword + '''';

 

-- Execute the command.

EXEC (@command)

GO

與 QUOTENAME() 一樣，可以通過(guò)聲明對(duì)所有情況都足夠大的臨時(shí)變量來(lái)避免由 REPLACE() 引起的字符串截?cái)唷?yīng)盡可能直接在動(dòng)態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME() 或 REPLACE()?；蛘?，也可以按如下方式計(jì)算所需的緩沖區(qū)大小。對(duì)于 @outbuffer = QUOTENAME(@input)，@outbuffer 的大小應(yīng)為 2*(len(@input)+1). 。使用 REPLACE() 和雙引號(hào)時(shí)（如上一示例），大小為 2*len(@input) 的緩沖區(qū)便已足夠。

以下計(jì)算涵蓋所有情況：

While len(@find_string) > 0, required buffer size =

round(len(@input)/len(@find_string),0) * len(@new_string)

+ (len(@input) % len(@find_string))

使用 QUOTENAME(@variable, ']') 時(shí)的截?cái)?/H3>

當(dāng) SQL Server 安全對(duì)象的名稱(chēng)被傳遞給使用 QUOTENAME(@variable, ']') 形式的語(yǔ)句時(shí)，可能發(fā)生截?cái)唷Ｒ韵麓a顯示了這一可能性。

CREATE PROCEDURE sp_MyProc

@schemaname sysname,

@tablename sysname,

AS

 

-- Declare a variable as sysname. The variable will be 128 characters.

-- But @objectname actually must accommodate 2*258+1 characters.

DECLARE @objectname sysname

SET @objectname = QUOTENAME(@schemaname)+'.'+ QUOTENAME(@tablename)

 

-- Do some operations.

GO

當(dāng)您串聯(lián) sysname 類(lèi)型的值時(shí)，應(yīng)使用足夠大的臨時(shí)變量來(lái)保存每個(gè)值的最多 128 個(gè)字符。應(yīng)盡可能直接在動(dòng)態(tài) Transact-SQL 內(nèi)調(diào)用 QUOTENAME()?；蛘撸部梢园瓷弦徊糠炙鰜?lái)計(jì)算所需的緩沖區(qū)大小。