Sqlparameter防SQL注入

一、SQL注入的原因

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即ＳＱＬ注入。

ＳＱＬ注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

但是，ＳＱＬ注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。

二、SQL注入的一般步骤

首先，判断环境，寻找注入点，判断数据库类型。

其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：

(A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：

Select * from 表名 where 字段=49

注入的参数为ID=49 And [查询条件]，即是生成语句：

Select * from 表名 where 字段=49 And [查询条件]

(B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：

Select * from 表名 where 字段=’连续剧’

注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句：

Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’

(C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：

Select * from 表名 where 字段like ’%关键字%’

注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句：

Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

接着，将查询条件替换成SQL语句，猜解表名，例如：

ID=49 And (Select Count(*) from Admin)＞=0

如果页面就与ID=49的相同，说明附加条件成立，即表Admin存在，反之，即不存在（请牢记这种方法）。如此循环，直至猜到表名为止。 表名猜出来后，将Count(*)替换成Count(字段名)，用同样的原理猜解字段名。

有人会说：这里有一些偶然的成分，如果表名起得很复杂没规律的，那根本就没得玩下去了。说得很对，这世界根本就不存在100%成功的黑客技术，苍蝇不叮无缝的蛋，无论多技术多高深的黑客，都是因为别人的程序写得不严密或使用者保密意识不够，才有得下手。

三、防范方法

ＳＱＬ注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为普遍，通常是由于程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查导致。在这里，我给大家一个函数，代替ASP中的Request函数，可以对一切的SQL注入说 NO。

下面我就说说用SqlParameter防SQL注入的方法

1、 SqlParameter 构造函数

SqlParameter(String, SqlDbType, Int32,ParameterDirection, Byte, Byte, String, DataRowVersion, Boolean, Object,String, String, String)，其参数分别代表该类使用参数名、参数的类型、参数的长度、方向、精度、小数位数、源列名称、DataRowVersion 值之一、用于源列映射的布尔值、SqlParameter 的值、此 XML 实例的架构集合所在的数据库的名称、此 XML 实例的架构集合所在的关系架构以及此参数的架构集合的名称。

2、  SqlParameter的应用

Public Class UserDAL
    ''' <summary>
    ''' 查询用户信息
    ''' </summary>
    ''' <param name="enUserInfo"></param>
    ''' <returns>UserOne</returns>
    ''' <remarks>返回用户的基本信息实体</remarks>
    Public Function Inquiry(ByVal enUserInfo As Entity.UserInfoEntity) As Entity.UserInfoEntity
        '定义UserInfoEntity的一个对象
        Dim UserOne As New Entity.UserInfoEntity
        '获得连接字符串
         Dim strConnection As String = System.Configuration.ConfigurationManager.AppSettings("sqlConnectStr")
        '设置连接
        Dim conn As SqlConnection = New SqlConnection(strConnection)
        '定义命令对象
        Dim cmd As New SqlCommand
        '定义一个适配器对象
        Dim sqlAdapter As SqlDataAdapter
        '实例一个数据表的对象
        Dim dt As New DataTable
        '实例一个数据集的对象
        Dim ds As New DataSet
        'sal语句
        Dim strSql As String = "select *from T_UserInfo where UserNO=@UserNo"
        Dim paras As SqlParameter() = {New SqlParameter("@UserNo", enUserInfo.UserNo)}

        '对cmd进行赋值
        cmd.CommandText = strSql
        cmd.CommandType = CommandType.Text
        cmd.Connection = conn
        cmd.Parameters.AddRange(paras)
        sqlAdapter = New SqlDataAdapter(cmd)

        conn.Open()            '打开连接
        sqlAdapter.Fill(ds)    '填充数据集
        dt = ds.Tables(0)
        cmd.Parameters.Clear()
        conn.Close()
        cmd.Dispose()

        Try
            '对实体进行赋值
            UserOne.UserNo = dt.Rows(0).Item("UserNO")
            UserOne.UserName = dt.Rows(0).Item("UserName")
            UserOne.UserLevel = dt.Rows(0).Item("UserLevel")
            UserOne.UserPwd = dt.Rows(0).Item("UserPWD")
            UserOne.RegisterManager = dt.Rows(0).Item("RegisterManager")
            Return UserOne
        Catch ex As Exception
            Return UserOne
        End Try

    End Function

3、 SqlParameter的基本原理是执行计划重用。即对注入后的SQL语句重新进行了编译，重新执行了语法解析。

四、总结

    不管怎么说，在今后的开发中，对于SQL注入的问题值得我们注意的还有很多，还有待于我们慢慢的积累。