一、什么是SQL注入式攻擊？
　　
　　所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢(xún)字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶(hù)輸入的內(nèi)容直接用來(lái)構(gòu)造（或者影響）動(dòng)態(tài)SQL命令，或作為存儲(chǔ)過(guò)程的輸入?yún)?shù)，這類(lèi)表單特別容易受到SQL注入式攻擊。常見(jiàn)的SQL注入式攻擊過(guò)程類(lèi)如：
　　
　　⑴ 某個(gè)ASP.NET Web應(yīng)用有一個(gè)登錄頁(yè)面，這個(gè)登錄頁(yè)面控制著用戶(hù)是否有權(quán)訪(fǎng)問(wèn)應(yīng)用，它要求用戶(hù)輸入一個(gè)名稱(chēng)和密碼。
　　
　　⑵ 登錄頁(yè)面中輸入的內(nèi)容將直接用來(lái)構(gòu)造動(dòng)態(tài)的SQL命令，或者直接用作存儲(chǔ)過(guò)程的參數(shù)。下面是ASP.NET應(yīng)用構(gòu)造查詢(xún)的一個(gè)例子：
　　
　　System.Text.StringBuilder query = new System.Text.StringBuilder(
　　"SELECT * from Users WHERE login = '")
　　.Append(txtLogin.Text).Append("' AND password='")
　　.Append(txtPassword.Text).Append("'");
　　
　　⑶ 攻擊者在用戶(hù)名字和密碼輸入框中輸入"'或'1'='1"之類(lèi)的內(nèi)容。
　　
　　⑷ 用戶(hù)輸入的內(nèi)容提交給服務(wù)器之后，服務(wù)器運(yùn)行上面的ASP.NET代碼構(gòu)造出查詢(xún)用戶(hù)的SQL命令，但由于攻擊者輸入的內(nèi)容非常特殊，所以最后得到的SQL命令變成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
　　
　　⑸ 服務(wù)器執(zhí)行查詢(xún)或存儲(chǔ)過(guò)程，將用戶(hù)輸入的身份信息和服務(wù)器中保存的身份信息進(jìn)行對(duì)比。
　　
　　⑹ 由于SQL命令實(shí)際上已被注入式攻擊修改，已經(jīng)不能真正驗(yàn)證用戶(hù)身份，所以系統(tǒng)會(huì)錯(cuò)誤地授權(quán)給攻擊者。
　　
　　如果攻擊者知道應(yīng)用會(huì)將表單中輸入的內(nèi)容直接用于驗(yàn)證身份的查詢(xún)，他就會(huì)嘗試輸入某些特殊的SQL字符串篡改查詢(xún)改變其原來(lái)的功能，欺騙系統(tǒng)授予訪(fǎng)問(wèn)權(quán)限。
　　
　　系統(tǒng)環(huán)境不同，攻擊者可能造成的損害也不同，這主要由應(yīng)用訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的安全權(quán)限決定。如果用戶(hù)的帳戶(hù)具有管理員或其他比較高級(jí)的權(quán)限，攻擊者就可能對(duì)數(shù)據(jù)庫(kù)的表執(zhí)行各種他想要做的操作，包括添加、刪除或更新數(shù)據(jù)，甚至可能直接刪除表。
　　
　　二、如何防范？
　　
　　好在要防止ASP.NET應(yīng)用被SQL注入式攻擊闖入并不是一件特別困難的事情，只要在利用表單輸入的內(nèi)容構(gòu)造SQL命令之前，把所有輸入內(nèi)容過(guò)濾一番就可以了。過(guò)濾輸入內(nèi)容可以按多種方式進(jìn)行。
　　
　　⑴ 對(duì)于動(dòng)態(tài)構(gòu)造SQL查詢(xún)的場(chǎng)合，可以使用下面的技術(shù)：
　　
　　第一：替換單引號(hào)，即把所有單獨(dú)出現(xiàn)的單引號(hào)改成兩個(gè)單引號(hào)，防止攻擊者修改SQL命令的含義。再來(lái)看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會(huì)得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。
　　
　　第二：刪除用戶(hù)輸入內(nèi)容中的所有連字符，防止攻擊者構(gòu)造出類(lèi)如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類(lèi)的查詢(xún)，因?yàn)檫@類(lèi)查詢(xún)的后半部分已經(jīng)被注釋掉，不再有效，攻擊者只要知道一個(gè)合法的用戶(hù)登錄名稱(chēng)，根本不需要知道用戶(hù)的密碼就可以順利獲得訪(fǎng)問(wèn)權(quán)限。
　　
　　第三：對(duì)于用來(lái)執(zhí)行查詢(xún)的數(shù)據(jù)庫(kù)帳戶(hù)，限制其權(quán)限。用不同的用戶(hù)帳戶(hù)執(zhí)行查詢(xún)、插入、更新、刪除操作。由于隔離了不同帳戶(hù)可執(zhí)行的操作，因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。
　　
　　⑵ 用存儲(chǔ)過(guò)程來(lái)執(zhí)行所有的查詢(xún)。SQL參數(shù)的傳遞方式將防止攻擊者利用單引號(hào)和連字符實(shí)施攻擊。此外，它還使得數(shù)據(jù)庫(kù)權(quán)限可以限制到只允許特定的存儲(chǔ)過(guò)程執(zhí)行，所有的用戶(hù)輸入必須遵從被調(diào)用的存儲(chǔ)過(guò)程的安全上下文，這樣就很難再發(fā)生注入式攻擊了。