怎么解决nosql注入,如何解决sql注入问题

什么是sql注入如何防止sql注入

SQL注入是一种非常常见的数据库攻击手段,同时也是网络世界中最普遍的漏洞之一,简单理解就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。

我们提供的服务有:做网站、成都网站制作、微信公众号开发、网站优化、网站认证、润州ssl等。为千余家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的润州网站制作公司

问题来源是,SQL数据库的操作是通过SQL语句来执行的,而无论是执行代码还是数据项都必须写在SQL语句中,也就导致如果我们在数据项中加入了某些SQL语句关键字,比如SELECT、DROP等,这些关键字就很有可能在数据库写入或读取数据时得到执行。

解决方案

方案一:

采用预编译技术

使用预编译的SQL语句,SQL语句的语义不会是不会发生改变的。预编译语句在创建的时候就已经将指定的SQL语句发送给了DBMS,完成了解析,检查,编译等工作,所以攻击者无法改变SQL语句的结构,只是把值赋给?,然后将?这个变量传给SQL语句。当然还有一些通过预编译绕过某些安全防护的操作,大家感兴趣可以去搜索一下。

方案二:

严格控制数据类型

在java、c等强类型语言中一般是不存在数字型注入的,因为在接受到用户输入id时,代码一般会做一个int id 的数据类型转换,假如我们输入的是字符串的话,那么这种情况下,程序就会报错。但是在PHP、ASP这些没有强调处理数据类型的语言,一般我们看到的接收id的代码都是如下等代码。

方案三:

对特殊的字符进行转义

数字型注入可以通过检查数据类型防止,但是字符型不可以,那么怎么办呢,最好的办法就是对特殊的字符进行转义了。比如在MySQL中我们可以对" '

"进行转义,这样就防止了一些恶意攻击者来闭合语句。当然我们也可以通过一些安全函数来转义特殊字符。如addslashes()等,但是这些函数并非一劳永逸,攻击者还可以通过一些特殊的方式绕过。

如何从根本上防止 SQL 注入

SQL注入并不是一个在SQL内不可解决的问题,这种攻击方式的存在也不能完全归咎于SQL这种语言,因为注入的问题而放弃SQL这种方式也是因噎废食。首先先说一个我在其他回答中也曾提到过的观点:没有(运行时)编译,就没有注入。

SQL注入产生的原因,和栈溢出、XSS等很多其他的攻击方法类似,就是未经检查或者未经充分检查的用户输入数据,意外变成了代码被执行。针对于SQL注入,则是用户提交的数据,被数据库系统编译而产生了开发者预期之外的动作。也就是,SQL注入是用户输入的数据,在拼接SQL语句的过程中,超越了数据本身,成为了SQL语句查询逻辑的一部分,然后这样被拼接出来的SQL语句被数据库执行,产生了开发者预期之外的动作。

所以从根本上防止上述类型攻击的手段,还是避免数据变成代码被执行,时刻分清代码和数据的界限。而具体到SQL注入来说,被执行的恶意代码是通过数据库的SQL解释引擎编译得到的,所以只要避免用户输入的数据被数据库系统编译就可以了。

现在的数据库系统都提供SQL语句的预编译(prepare)和查询参数绑定功能,在SQL语句中放置占位符'?',然后将带有占位符的SQL语句传给数据库编译,执行的时候才将用户输入的数据作为执行的参数传给用户。这样的操作不仅使得SQL语句在书写的时候不再需要拼接,看起来也更直接,而且用户输入的数据也没有机会被送到数据库的SQL解释器被编译执行,也不会越权变成代码。

至于为什么这种参数化的查询方式没有作为默认的使用方式,我想除了兼容老系统以外,直接使用SQL确实方便并且也有确定的使用场合。

多说一点,从代码的角度来看,拼接SQL语句的做法也是不恰当的。

解决并清除SQL被注入

在SQL查询分析器执行以下代码就可以了。

declare

@t

varchar(255),@c

varchar(255)

declare

table_cursor

cursor

for

select

a.name,b.name

from

sysobjects

a,syscolumns

b

,systypes

c

where

a.id=b.id

and

a.xtype='u'

and

c.name

in

('char',

'nchar',

'nvarchar',

'varchar','text','ntext')

declare

@str

varchar(500),@str2

varchar(500)

set

@str='script

src=;/script'/*要替换的内容*/

set

@str2=''

open

table_cursor

fetch

next

from

table_cursor

into

@t,@c

while(@@fetch_status=0)

begin

exec('update

['

+

@t

+

']

set

['

+

@c

+

']=replace(cast(['

+

@c

+

']

as

varchar(8000)),'''+@str+''','''+

@str2

+''')')

fetch

next

from

table_cursor

into

@t,@c

end

close

table_cursor

deallocate

table_cursor;

首先替换代码里面的script

src=;/script为你的数据库表里面被注入的内容,打开MSSQL的SQL查询分析器执行以下代码就可以了。


网站标题:怎么解决nosql注入,如何解决sql注入问题
文章出自:http://scyanting.com/article/dsejepp.html