SQL注入总结

一、SQL注入

在很多情况下，应用程序在访问数据库时一般采取拼接字符串的形式。变量的值是由用户输入的，在变量合法的情况下，SQL语句的执行肯定没有问题。但是如果攻击者采用一些技巧，就可以达到原本设计的SQL语句不一样的效果。违背了“数据与代码分离原则”，如：

sql="SELECT * FROM TestTable WHERE UserName= ' "+ userName+" ' "

如果攻击者输入一段有语义的语句，userName= admin' ; drop table  TestTable --

执行的SQL语句就成了：SELECT * FROM TestTable WHERE UserName= 'admin'; drop table  TestTable --

So，摊上大事了，你懂的。

二、盲注

构建简单的条件语句，根据返回页面是否变化，来判断SQL语句是否正确得到执行。

首先执行正常语句，SELECT title FROM TestTable WHERE id = 1

之后构建“id = 1 and 1=2”，SQL语句就成了SELECT title FROM TestTable WHERE id = 1 and 1=2。这里and条件永远无法成立。对于应用来说，不会返回结果给用户。会看到页面结果将为空或者一个出错的界面

再构建“id = 1 and 1=1”，如果页面正常返回，说明SQL语句中的and成功执行，那么就存在SQL注入漏洞

三、防范

1.安全的API，比如预编译、存储过程；

2.用白名单来规范化的输入验证方法；

3.对输入的特殊字符进行转义处理。

4.最小权限原则，最小化分配给每个数据库帐户的权限。

四、参数化查询

参数化查询与普通查询的区别在sql语句地书写上，

普通语句查询：“select * from UserInfo where UserId = ” + userId

参数化查询：“select * from UserInfo where UserId = @UserId”;cmd.Parameters.Add();

普通语句插入：string.Format(“insert into UserInfo values({0},{1},{2},{3})”,userId,userName,”getdate()”,gender);

参数化插入：“insert into UserInfo values(@userId,@userName,getdate(),@gender)”;cmd.Parameters.Add()

参数化查询是用@+字段名做标记表示此处要输入东西，然后通过cmd.Parameters.Add()对这些标记赋予具体类型并进行赋值。

使用参数化查询的好处：

1.复用查询计划。占用更少的资源，加快数据库运行速率。

查询仅需解析(或预处理)一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析/编译/优化执行该查询的计划。对于复杂的查询，此过程要花费较长的时间，如果需要以不同参数多次重复相同的查询，那么该过程将大大降低应用程序的速度。

为此需要将SqlParameter参数加上SqlDbType和Size属性。在参数化查询编写过程中，很多开发会忽略指定查询参数的类型，使得代码在执行过程中不能自动识别参数类型，该字段内容进行全表扫描以确定参数类型并进行转换，导致重新生成执行计划。

2.将数据与代码分离，防止SQL注入。语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑。

但，并不是所有的参数化查询都可以防止SQL注入。

因为执行计划被复用，所以才防止SQL注入。

首先分析SQL注入的本质，

用户写了一段SQL 用来表示查找密码是a的，用户名是b的所有用户的数量。通过注入SQL，这段SQL现在表示的含义是查找(密码是a的，并且用户名是b的，) 或者1=1 的所有用户的数量。

可以看到SQL的语意发生了改变，为什么发生了改变呢？，因为没有重用以前的执行计划，因为对注入后的SQL语句重新进行了编译，因为重新执行了语法解析。所以要保证SQL语义不变，即我想要表达SQL就是我想表达的意思，不是别的注入后的意思，就应该重用执行计划。

如果不能够重用执行计划，那么就有SQL注入的风险，因为SQL的语意有可能会变化，所表达的查询就可能变化。

所以，使用exec动态执行的SQL，岂不到防止SQL注入的作用。这种动态执行的SQL和拼接没有实质性区别，动态的SQL语句，需要对其进行预编译。

任何拼接SQL的方式都有SQL注入的风险，所以如果没有实质性的区别的话，那么使用exec动态执行SQL是不能防止SQL注入的。

五、存储过程

存储过程中的插入代码：insert into dbo.UserInfo values(@UserId,@UserName,@AddTime,@Gender)

存储过程中的查询代码：select * from dbo.UserInfo where UserId=@UserId

调用存储过程方式：cmd.CommandType = CommandType.StoredProcedure;cmd.Parameters.Add();

参数化查询和存储过程在声明方式和使用方式上大体相同，不同点有：

参数化查询直接用@+参数名作为参数化的标记，存储过程也是这样的，不过存储过程中要先声明一下这个标记的类型，才能使用

参数化查询SqlCommand cmd = new SqlCommand(“Sql语句”, con);

存储过程查询SqlCommand cmd = new SqlCommand(“存储过程名称”, con);

调用存储过程要指明此处使用的是存储过程，cmd.CommandType =CommandType.StoredProcedure;，

默认使用的是CommandType.Text