“未来的世界:方向比努力重要,能力比知识重要,健康比成绩重要,生活比文凭重要,情商比智商重要! ”
——清华大学校长留给毕业生的一段话
不正确的编写SQL语句会导致系统不安全
上一篇 /
下一篇 2007-08-12 16:15:02
在一般的多用户应用系统中,只有拥有正确的用户名和密码的用户才能进入该系统。我们通常需要编写用户登录窗口来控制用户使用该系统,这里以Visual Basic ADO为例:51Testing软件测试网�L*f�h)y�r
L
51Testing软件测试网�f�|9M4U r�J�p�h:[
一、漏洞的产生
$c�N�L�E�K051Testing软件测试网�Y.w J/L�~;f�^
用于登录的表:
.F�h9e�s:q�[�B�U+{0
%l�c�D#w0L!h�u'B�v#k-j'[0Users(name,pwd)51Testing软件测试网�v�w(O(k�q
51Testing软件测试网�{�n)D
t�q1J�k
建立一个窗体Frmlogin,其上有两个文本框Text1,Text2和两个命令按钮cmdok,cmdexit。两个文本框分别用于让用户输入用户名和密码,两个命令按钮用于“登录”和“退出”。
�g6?;[�m�e)}�w�g.Y0
){�S�a�j%W�y!e*M�n�x01、定义Ado Connection对象和ADO RecordSet对象:
,}%l
R�I7S7K051Testing软件测试网�C d�t!^"n/U
Option Explicit
_�a }�N/_)y�J�X�B051Testing软件测试网�w�}�c/|(E�M5s!y
Dim Adocon As ADODB.Connection51Testing软件测试网6m+A�P�m�t._�}
�L�g;{1~%B0Dim Adors As ADODB.Recordset
#B�U�v+J�c�]�?8l+W e0~051Testing软件测试网�A-V�]�|�_9d
2、在Form_Load中进行数据库连接:
"^.L�b&A�D!{�F�v�u&w0
�d4a�h(@�[,I�U*Q�X0Set Adocon = New ADODB.Connection51Testing软件测试网(u�W�s�f�s
�^�L�G�V9F0Adocon.CursorLocation = adUseClient
�D'j+k�A�A0
#^�c2Z�]�q)V9h0T�}1\"E6\�C0adocon.Open "Provider=Microsoft.jet.
�a,D.l�h�H�a+M�h�~0OLeDB.4.0.1; Data Source=" && _51Testing软件测试网�v*Y�c�\(h9^�h%]�@)W.e
51Testing软件测试网:A+g�j,F:u�d�`
App.Path && " est.mdb; "
:R�h�u�h�a�d6A7Q$o051Testing软件测试网5w&_-E7C�i,w!y
cmdok中的代码51Testing软件测试网�{�l�m)D
?�h�U�B�w
'd�n"^�i�E5]#E0Dim sqlstr As String
1C�Q
h�_,w�{.O.q�c(e051Testing软件测试网�v!Q:Q�j�O%q
sqlstr = "select * from51Testing软件测试网$G�b�u�b3u"\�x�d
usersswheresname='" && Text1.Text && _51Testing软件测试网�A�l4i�j�{ Z�j+i7S
:V+J�})j8K!X0"' and pwd='" && Text2.Text && "'"
�p/n'C&a e�T0
�a�e�|�m�c#|�i0Set adors = New ADODB.Recordset51Testing软件测试网;E5u�V�e+[
51Testing软件测试网
I�P�c$]�j6Q)Z
Set Adors=Adocon.Execute(sqlstr)51Testing软件测试网�^"}2E8K�^�_�`�q
51Testing软件测试网�Q�X�m�G�P9@ S�i�U�M1H
if Adors.Recordcount>0 Then51Testing软件测试网/`�a�_&w�X5d�o�o
//或If Not Adors.EOF then
�X%Y�N;d.y�D7d,G"d051Testing软件测试网4`�G;k�^4p E�Z
....
�g%s6K:E0p�R�W�O
\0
"W;o$z�H5|0MsgBox "Pass" //通过验证51Testing软件测试网�y5Y�R�J4Z3o�v�g
51Testing软件测试网'a�] n
H/\�y
Else51Testing软件测试网�Q1m5{�`�~�S
-U�V�U
v)b/]2{�p0...
�@�h�k�t)O+a0
)r�i�p�]�q�F J�M0MsgBox "Fail" //未通过验证
s�?6a�A�w,D�a
n0
3G+F�~.o e�j$t�x0End if51Testing软件测试网�d�s�[�O�S
�j
e0b/r6F�I
Z�u�D5D0运行该程序,看起来这样做没有什么问题,但是当在Text1中输入任意字符串(如123),在Text2中输入a' or 'a'='a时,我们来看sqlstr此时的值:
g*G�b7E�E;Q&I h051Testing软件测试网 @1T�V1v4O�y�O
select * from usersswheresname='123'51Testing软件测试网�a T�h$W�d�g
and pwd='a' or 'a'='a'
�z�S�G9g�c�b%y�p�T051Testing软件测试网5s�L*E,n.|�N:}�s-l�D
执行这样一个SQL语句,由于or之后的'a'='a'为真值,只要users表中有记录,则它的返回的eof值一定为False,这样就轻易地绕过了系统对于用户和密码的验证。51Testing软件测试网#}6^�S7^�d
51Testing软件测试网�Q�O�Q u�H.X�E�\
这样的问题将会出现在所有使用
�f�z6F�H�n$^0select * from usersswheresname='"51Testing软件测试网2|*s�w)]�t#q6n�@
&& name && "' and pwd='" && password &&"'51Testing软件测试网5{#[%i�Y�m�n$L3P
的各种系统中,无论你是使用那种编程语言。51Testing软件测试网6T0Q�C&y�Z
51Testing软件测试网�U�_3X�B V�?:f8T�{
二、漏洞的特点
4j/e6G!c�n�d�T-q5D051Testing软件测试网:}�m;G
^)`$K+o;z
在网络上,以上问题尤其明显,笔者在许多网站中都发现能使用这种方式进入需要进行用户名和密码验证的系统。这样的一个SQL漏洞具有如下的特点:
�i/K"F5^�I8_0
N�f�k6s&k�@�L01、与编程语言或技术无关51Testing软件测试网8u�x�]
b�o'i
N�F�D
�i�k ^6X$z![�L4H:E0无论是使用VB、Delphi还是ASP、JSP。
'e�@�f&r/?�t,E�B"r"K�X0
-q�l$?�r7B,B/z"q�I�X02、隐蔽性
$_8A$H7s�E�N051Testing软件测试网�Y�u�~ |8X(O8K�s
现有的系统中有相当一部分存在着这个漏洞,而且不易觉察。51Testing软件测试网�t-`-p2_�L:F2E�]
)C�C�X*g�Q�u$h�s�G�k03、危害性
�v&Q�|$Q�u�s�|�t051Testing软件测试网,I�F�a1z0n�e
不需要进行用户名或密码的猜测即可轻易进入系统。51Testing软件测试网 ])d"I
c-q�?�b(s0_
51Testing软件测试网�D�A�i(U
t�p
三、解决漏洞的方法51Testing软件测试网�F�P�w6E�q7\'F�k'X
"V3g!V�E�X-V:u01、控制密码中不能出现空格。51Testing软件测试网8F�M�N�a7t4P�F
51Testing软件测试网9a6j"l�|�D$k�f6q
2、对密码采用加密方式。51Testing软件测试网0A3o6?
K�L�a8H
�t�e ^�k�S�n�E2[.M0这里要提及一点,加密不能采用过于简单的算法,因为过于简单的算法会让人能够构造出形如a' or 'a'='a的密文,从而进入系统。51Testing软件测试网
|6G�E�O�h;[�u2N�p
/|�J)G
U9L
~6A�d03、将用户验证和密码验证分开来做,先进行用户验证,如果用户存在,再进行密码验证,这样一来也能解决问题。
收藏
举报
TAG:
