防止 SQL 注入的方法（摘抄）

——选自《深入Ajax : 架构与最佳实践 = Advanced Ajax : architecture and best practices/ (美)Shawn M.Lauriat著；张过，宋会敏等译》

SQL注入

SQL注入攻击是指利用数据库服务器支持的SQL语法，以开发人员意料之外的方式执行SQL命令。这种攻击的主要形式是滥用传递到SQL中的未转义字符串，即滥用原本与SQL代码无关的GET或POST输出。结果是攻击者可以运行应用程序的数据库用户有权运行的任何SQL语句。利用SQL注入，攻击者可以获得帐户信息、破坏数据，甚至在数据库提供了相应方法并允许它运行的情况下，还能够运行系统命令。

攻击方式

例如：明文登录时，根据请求username=admin&password=123&submit=Login和变量赋值，很可能推断出类似下面的验证用户身份的查询语句：

string query = "SELECT id, name FROM users WHERE login = '" + username + "' AND password = '" + password_hash + "'";

（注：这个查询中包含一个password_hash变量，而不是简单的使用密码，因为应用程序永远不能以明文形式保存密码(如用户银行帐户的密码)，假如应用程序的某一部分设计成了以明文或者可逆的字符串保存密码，那么即使不必完全重新设计，也要对该部分重新调整。

另外，任何散列计算都必须使用salt。salt是传递给散列算法中的一个值，用于以统一方式修改输出结果，

可以参考 http://hashtoolkit.com/ 或者 http://blog.csdn.net/wxwzy738/article/details/16839339/）

攻击者如果输入admin'-- 这个用户名并以admin身份获得验证，那么无需猜测或对密码实施暴力破解，就可以运行下面这条查询语句：

SELECT id, name FROM users WHERE login = 'admin' --' AND password = 'fb2daecbcff8a328dfc4f03a4a5ef3a0'

（或者输入admin' OR '0' = '1或admin' exec xp_cmdshell 'format d:/s' --等将会执行其他的SQL命令。）

这条查询语句将会取得以admin身份登录的用户id和name，而不理会密码比较，密码比较目前位于一条注释的开始之后，因此根本不会在SQL语句中存在。这样就保证了密码测试永远不会发生，更不必说影响验证用户了。

（注意：如果把sql语句写成这样，也可以防止sql注入：select * from Customer where Password = '{0}' and UserName ='{1}'）

过滤处理

开发人员可以在刚接收到请求时执行过滤操作。由于通过HTTP请求提交的字符串大多可以解析为预期的数据类型(从整数到原始文本)，因此接收到这些数据的初始代码可以将无效的值过滤掉。

/// <summary>
/// 对username值进行过滤以确保它只包含字母
/// </summary>
/// <param name="username">用户名</param>
/// <returns>true - 没有注入, false - 有注入 </returns>
public bool filterSql(string username)
{
    int length;
    username = username.ToLower().Trim();
    length = username.Length;
    username = username.Replace("'", "");
    username = username.Replace("-", "");
    if (length == username.length)
         return ture;
     return false;
}
//检测用户名
List<string> list = new List<string>();
if(filterSql(Request["username"]))
{
    list.Add(Request["username"]);
}
list.Add(Request["password"]);

虽然要对username值执行过滤以确保它只包含字母，但对password值则没有过滤，因为密码应该接收任何字符。此外，即使实际的数据表现为实际输入的散列形式，后期也不会对其进行任何过滤处理，以便与其他验证管理逻辑保存一致。

预处理

string sql = "SELECT id, name FROM users WHERE login = @username";
SqlParameter[] cellParms =
{
    new SqlParameter("@username", SqlDbType.NVarChar,)
};
//对username值进行预处理
cellParms[].Value = Request["username"];
 
//运用ADO.NET的SqlCommand对象执行SQL
SqlCommand cmd = new SqlCommand();
cmd.Connection = new SqlConnection(connString);
cmd.CommandText = sql;
cmd.CommandType = CommandType.Text;
if (cellParms != null)
{
    foreach (SqlParameter parm in cellParms)     
    {         
         cmd.Parameters.Add(parm);
    }
}
//执行处理后的sql语句
SqlDataReader rdr = cmd.ExecuteReader(CommandBehavior.CloseConnection);

简而言之，要最有效的避免SQL注入攻击，必须根据要求的数据类型过滤所有输入，并转义SQL语句中的所有参数。转义参数时，可以为预处理语句绑定参数，也可以在数据库不支持预处理语句时，使用针对数据库引擎的内部库函数。

数据库连接字符串参考：https://www.connectionstrings.com/