一,问题概述
某些web站点,会直接使用用户输入的字符串来作为SQL文的一部分。这就会产生SQL注入的风险。
二,举例说明 1、PHP + PostgreSQL
$query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh';$result = pg_query($conn, $query);
场景:这是容易被理解的SQL注入发生的场景,使用用户输入的用户名和密码来验证该用户是否可以login。
恶意输入模式:
uid:taro'--
pass:任意值
分析:这样一来,验证用的SQL就变成以下SQL文:
SELECT * FROM usr WHERE uid = 'taro'--' AND pass ='eefd5bc2...'
2、Perl+DBI
$query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'";$sth =$dbh->prepare($query);$sth->execute();
场景:同上
恶意输入模式:
uid:taro'--
pass:任意值
分析:从代码上看,已经使用了预处理方法对SQL进行了预处理。但是由于SQL文中包含变量,导致预处理不能进行。因此还是会导致SQL注入风险。
三,可能的后果
1、非公开信息的泄露
2、数据库中保存信息的被恶意篡改,删除。
3、绕开认证的login
4、恶意者可能会利用该漏洞使用存储过程来运行恶意的os command。
四,可能被攻击网站的特征
1、所有用到数据库的web站点
五,如何解决
彻底解决方案
1-1、使用Placeholder来产生SQL语句。即preparedstatement。
1-2、无法使用preparedstatement的场合,尽量使用数据库引擎提供的escape函数来过滤用户字符串。
2、不要使用用户输入的参数组成SQL文
改善方案
1、不要将系统产生的错误消息直接输出到最终用户的浏览器。
2、数据库账号严格实行最小权限赋予原则
更容易阅读的版本,见附件。