详解SQL注入攻击的原理及其防御措施

核心提示： 如此大的成就多数情况下仅需动动鼠标就做到了，打开最新版的NBSI 2.0，详解SQL注入攻击的原理及其防御措施(3)，如图1所示：输入地址到A区，注意网址必须是带传递参数的那种，服务器管理员不可能挨个网站挨个页面的审查其是否存在SQL注入漏洞，那么应该如何防范SQL注入入侵呢？作为服务器管

如此大的成就多数情况下仅需动动鼠标就做到了。打开最新版的NBSI 2.0，如图1所示：输入地址到A区，注意网址必须是带传递参数的那种，点击右边的检测按钮，即出来B区信息，显示当前用户为sonybb的权限为PUBLIC，当前库为lawjia。有点可惜啊，如果是SA权限的话，就可以跨库注入了。不过，这个权限也足够获取该网站管理员帐号和密码了。点C区下的自动猜解按钮，即出来当前库lawjia中的各种表，哇，login表中一定是存管理员帐号和密码的吧？选中它吧，接着点击D区下的自动猜解按钮，立即出来login表里的列名称，果然是存放用户名和密码的啊，太棒了！赶快打上勾，迫不急待的点击E区下的自动猜解按钮。激动人心的时刻就要到来啦，只见唰唰地几下，帐号与密码全部出来了。剩下的事就是辨别哪一个帐号是管理员了。

不知那些没注意过SQL注入漏洞的ASP程序员们看了上图的例子，要作何感想呢？是不是觉得这个所谓的网站安全漏洞检测工具SBSI 2.0简直就是MS_SQL的企业管理器呢？只不过人家不需要帐号和密码就可以查看您数据库里的所有信息了。如果您的网站就这样被人不费吹灰之力入侵了，您是不是要吐几升血了呢？也许您已经为系统安全费尽心思了，装补丁、安防火墙、装杀毒软件、巧妙配置IIS及数据库用户权限，但您就是没有注意到SQL注入漏洞，于是"千里之堤，溃于蚁穴"。防火墙与杀毒软件对SQL注入是没办法防范的，因为SQL注入入侵跟普通的WEB页面访问没什么区别，所以往往是防不甚防。而且一个服务器上放置的网站往往是有很多个的，服务器管理员不可能挨个网站挨个页面的审查其是否存在SQL注入漏洞。那么应该如何防范SQL注入入侵呢？作为服务器管理员或网站程序员应该分别怎么做呢？服务器管理员要做的事主要是配置IIS和数据库用户权限，而网站程序员主要是要在程序代码编写上防范SQL注入入侵。下面详细叙述：