详解SQL注入攻击的原理及其防御措施

核心提示： 接下来要讲讲程序员的防范措施了，程序主要要做两件事，详解SQL注入攻击的原理及其防御措施(5)，最重要的一件事，当然是对客户端提交的变量参数进行仔细地检测啦，利用漏洞开发专门的黑客工具，使那些其实并不具备必要的网络技术和网络安全知识的人（就是文中提到的"既不懂ASP又不懂SQL、

接下来要讲讲程序员的防范措施了。程序主要要做两件事，最重要的一件事，当然是对客户端提交的变量参数进行仔细地检测啦。对客户端提交的变量进行检查以防止SQL注入，有各种方法，到http://community.csdn.net/上搜索一下，你能获得许多有益信息。这里介绍一种现成的方法，别人已经写好了检测代码，拿来用一下，不用自己辛苦啦。那就是"枫叶SQL通用防注入V1.0 ASP版"，这是一段对用户通过网址提交过来的变量参数进行检查的代码，发现客户端提交的参数中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用于SQL注入的常用字符时，立即停止执行ASP并给出警告信息或转向出错页面。大家可以到网上搜索一下，下载这段代码，存为一个ASP页面，如checkSQL.asp，把这个页面include到每个需要带参数查询SQL数据库ASP页面中，记住，只要加一行这样的代码就行了。

程序员要做的第二件事是给用户密码加密啦。比如用MD5加密。MD5是没有反向算法,不能解密的。人家即使知道经加密后存在数据库里的像乱码一样的密码，他也没办法知道原始密码了。不过，人家可以用UPDATE方法用他的密码代替你的密码，但这个操作还是有点麻烦，人家可能会怕麻烦而放弃。而那个所谓的网站安全漏洞检测工具NBSI 2.0是没有提供UPDATE操作功能的，所以用MD5加密后，人家仅用NBSI 2.0而不辅以手动操作的话，就不可能获得网站管理员帐号的密码，这将挡住许多菜鸟级的攻击者，至少那些既不懂ASP又不懂SQL、年纪小小的男性青年是没有办法啦！

文章写到这，已经够长了，本来还想对那些所谓的网站安全漏洞检测工具如NBSI之流的黑客工具进行一番理性的探讨的，看来还是放弃好了。为了增强网站安全，了解攻击手段是必须的，但是，利用漏洞开发专门的黑客工具，使那些其实并不具备必要的网络技术和网络安全知识的人（就是文中提到的"既不懂ASP又不懂SQL、年纪小小的男性青年"）轻而易举地侵入一家网站，这除了为许多网络管理员制造麻烦外，是否还具有加强网络安全意识提高网络安全水平的功效呢？