参数化查询为什么能够防止SQL注入

发表于:2014-7-11 11:39

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:文院    来源:51Testing软件测试网采编

  多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。
  首先:我们要了解SQL收到一个指令后所做的事情:
  在这里,简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
  具体可能有点不一样,但大致的步骤如上所示。
  接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢?
  首先创建一张表Users:
CREATE TABLE [dbo].[Users](
[Id] [uniqueidentifier] NOT NULL,
[UserId] [int] NOT NULL,
[UserName] [varchar](50) NULL,
[Password] [varchar](50) NOT NULL,
CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED
(
[Id] ASC
)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF,
IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON,
ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]
) ON [PRIMARY]
3F3ECD42B7A24B139ECA0A7D584CA195

  插入一些数据:
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');
  假设我们有个用户登录的页面,代码如下:
  验证用户登录的sql 如下:
  select COUNT(*) from Users where Password = 'a' and UserName = 'b'
  这段代码返回Password 和UserName都匹配的用户数量,如果大于1的话,那么就代表用户存在。
  本文不讨论SQL 中的密码策略,也不讨论代码规范,主要是讲为什么能够防止SQL注入,请一些同学不要纠结与某些代码,或者和SQL注入无关的主题。
  可以看到执行结果:
  这个是SQL profile 跟踪的SQL 语句。
  注入的代码如下:
  select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'
  这里有人将UserName设置为了 “b' or 1=1 –”.
  实际执行的SQL就变成了如下:
  可以很明显的看到SQL注入成功了。
31/3123>
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号