SQL注入攻击的原理及其防范措施

核心提示： ·SQL注入网站入侵实例·Web下SQL注入攻击的检测与防御·SQL注入漏洞全接触--入门篇(一)·防止sql注入的简单方法·SQL注入漏洞全接触--入门篇(二)·新手入门：防范SQL注入攻击的新办法·SQL注入天书—A

·SQL注入网站入侵实例
·Web下SQL注入攻击的检测与防御
·SQL注入漏洞全接触--入门篇(一)
·防止sql注入的简单方法
·SQL注入漏洞全接触--入门篇(二)
·新手入门：防范SQL注入攻击的新办法
·SQL注入天书—ASP注入漏洞全接触
·SQL注入漏洞全接触--进阶篇(一)
·SQL注入实战---利用“dbo”获得SQL管
·SQL注入漏洞全接触--进阶篇(二)

如此大的成就多数情况下仅需动动鼠标就做到了。打开最新版的NBSI 2.0，如图1所示：输入地址到A区，注意网址必须是带传递参数的那种，点击右边的检测按钮，即出来B区信息，显示当前用户为sonybb的权限为PUBLIC，当前库为lawjia。有点可惜啊，如果是SA权限的话，就可以跨库注入了。不过，这个权限也足够获取该网站管理员帐号和密码了。点C区下的自动猜解按钮，即出来当前库lawjia中的各种表，哇，login表中一定是存管理员帐号和密码的吧？选中它吧，接着点击D区下的自动猜解按钮，立即出来login表里的列名称，果然是存放用户名和密码的啊，太棒了！赶快打上勾，迫不急待的点击E区下的自动猜解按钮。激动人心的时刻就要到来啦，只见唰唰地几下，帐号与密码全部出来了。剩下的事就是辨别哪一个帐号是管理员了。

图1（图中的示例网站在作者本地电脑上运行）

　　不知那些没注意过SQL注入漏洞的ASP程序员们看了上图的例子，要作何感想呢？是不是觉得这个所谓的网站安全漏洞检测工具SBSI 2.0简直就是MS_SQL的企业管理器呢？只不过人家不需要帐号和密码就可以查看您数据库里的所有信息了。如果您的网站就这样被人不费吹灰之力入侵了，您是不是要吐几升血了呢？也许您已经为系统安全费尽心思了，装补丁、安防火墙、装杀毒软件、巧妙配置IIS及数据库用户权限，但您就是没有注意到SQL注入漏洞，于是"千里之堤，溃于蚁穴"。防火墙与杀毒软件对SQL注入是没办法防范的，因为SQL注入入侵跟普通的WEB页面访问没什么区别，所以往往是防不甚防。而且一个服务器上放置的网站往往是有很多个的，服务器管理员不可能挨个网站挨个页面的审查其是否存在SQL注入漏洞。那么应该如何防范SQL注入入侵呢？作为服务器管理员或网站程序员应该分别怎么做呢？服务器管理员要做的事主要是配置IIS和数据库用户权限，而网站程序员主要是要在程序代码编写上防范SQL注入入侵。下面详细叙述：

　　对了服务器管理员，既然你不可能挨个检查每个网站是否存在SQL注入漏洞，那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且"省心又省力，效果真好！"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成
C:\WINDOWS\Help\iisHelp\common\500.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP　500错误。

图2、IIS出错信息设置

　　但是这样设置一个不好的地方是程序员编写的代码出错时，服务器不给出详细的错误提示信息，会给程序员带来很大的不便。不过，服务器毕竟不是测试代码的地方，应坚持安全稳定第一，这样设置也是无可厚非的，事实上许多服务器的出错信息都是如此设置。

　　服务器管理员还应在IIS中为每个网站设置好执行权限，可千万别给人家静态网站以"脚本和可执行"权限。一般情况下给个"纯脚本"权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为"无"好了，这样做是为了防止人家上传ASP木马，执行权限设为"无"，人家上传ASP木马也运行不了。一般情况下，SQL注入漏洞仅是涉及一个网站安全的事，如果人家通过这个漏洞上传了ASP木马并运行起来，那整个服务器都失陷了。所以有远见的、有责任心的服务器管理员应该十分吝啬的配置IIS的执行权限。

　　同样的吝啬态度应适用于数据库用户的权限配置上，当然这里数据库是指MS＿SQL啦，ACCESS都没有用户权限配置这一步骤。如果PUBLIC权限足够使用的绝不给再高的权限，可千万别把SA级别的权限随随便便地给人家啊。那个所谓的网站安全漏洞检测工具NBSI 2.0可有跨库进行SQL注入的功能啊，如果你把SA权限给了存在SQL注入漏洞的库，那其它库就不保啦！城门失火，殃及池鱼呀。而人家还可以通过调用xp_cmdshell命令得到系统的最高权限。具体步骤还是请参看上面提到的那篇《SQL注入漏洞全接触》这篇文章吧。

　　接下来要讲讲程序员的防范措施了。程序主要要做两件事，最重要的一件事，当然是对客户端提交的变量参数进行仔细地检测啦。对客户端提交的变量进行检查以防止SQL注入，有各种方法，到http://community.csdn.net/上搜索一下，你能获得许多有益信息。这里介绍一种现成的方法，别人已经写好了检测代码，拿来用一下，不用自己辛苦啦。那就是"枫叶SQL通用防注入V1.0 ASP版"，这是一段对用户通过网址提交过来的变量参数进行检查的代码，发现客户端提交的参数中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用于SQL注入的常用字符时，立即停止执行ASP并给出警告信息或转向出错页面。大家可以到网上搜索一下，下载这段代码，存为一个ASP页面，如checkSQL.asp，把这个页面include到每个需要带参数查询SQL数据库ASP页面中，记住，只要加一行这样的<!--#include file="checkSQL.asp"-->代码就行了。

　　程序员要做的第二件事是给用户密码加密啦。比如用MD5加密。MD5是没有反向算法,不能解密的。人家即使知道经加密后存在数据库里的像乱码一样的密码，他也没办法知道原始密码了。不过，人家可以用UPDATE方法用他的密码代替你的密码，但这个操作还是有点麻烦，人家可能会怕麻烦而放弃。而那个所谓的网站安全漏洞检测工具NBSI 2.0是没有提供UPDATE操作功能的，所以用MD5加密后，人家仅用NBSI 2.0而不辅以手动操作的话，就不可能获得网站管理员帐号的密码，这将挡住许多菜鸟级的攻击者，至少那些既不懂ASP又不懂SQL、年纪小小的男性青年是没有办法啦！

　　文章写到这，已经够长了，本来还想对那些所谓的网站安全漏洞检测工具如NBSI之流的黑客工具进行一番理性的探讨的，看来还是放弃好了。为了增强网站安全，了解攻击手段是必须的，但是，利用漏洞开发专门的黑客工具，使那些其实并不具备必要的网络技术和网络安全知识的人（就是文中提到的"既不懂ASP又不懂SQL、年纪小小的男性青年"）轻而易举地侵入一家网站，这除了为许多网络管理员制造麻烦外，是否还具有加强网络安全意识提高网络安全水平的功效呢？