VB.NET 防止sql注入

Next
获取数组长度
Num.GetLength(0) 第一维的长度
Num.GetLength(1) 第二维的长度

所谓SQL注入，就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

具体来说，它是利用现有应有程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在web

表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

SQL注入攻击的总体思路

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不同的服务器和数据库特点进行SQL注入攻击

SQL注入攻击实例

比如在一个登录界面，要求输入用户名和密码：

可以这样输入实现免帐号登录：

用户名： ‘or 1 = 1 –-

密 码：

点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下：

从理论上说，后台认证程序中会有如下的SQL语句：

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码，上面的SQL语句变成：

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL语句：

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；

然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

这还是比较温柔的，如果是执行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知…
应对方法

1、参数化SQL：在设计与数据库连接并访问数据时，在需要填入数值或者数据的地方，使用参数（Parameter）来给值，用@来表示参数。在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，因此就算参数中含有恶意的指令，由于已经编译完成，就不会被数据库所运行，因此，可从一定程度上避免SQL注入。

2、字符串过滤

3、使用正则表达式过滤传入的参数

4、前端js防范SQL注入

5、在数据库中限制用户权限，drop/create/truncate等权限谨慎grant

6、多使用数据库自带的安全参数。如在SQLServer数据库中提供了Parameter这个集合，这个集合提供类型检查和长度验证的功能。如果管理员采用了 Parameter这个集合的话，则用户输入的内容将被视为字符值而不是可执行代码。即使用户输入的内容中含有可执行代码，则数据库也会过滤掉。因为此时数据库只把它当作普通的字符来处理。

7、多层环境如何防治SQL注入式攻击？（实现多层验证，需要多层一起努力，在哭护短与数据库端都要采用相应的措施来防治SQL语句的注入式攻击）

8、必要情况下使用专业的漏洞扫描工具来寻找可能被攻击的点

避免SQL注入的方法有两种：
一是所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理，不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程，所以有人提出了第二种方案：参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样：

1
select * from UserInfo where sex=0
在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我们用参数化SQL语句表示为：

1
select * from UserInfo where sex=@sex
再对代码中对这个SQL语句中的参数进行赋值，假如我们要查找UserInfo表中所有年龄大于30岁的男性用户，这个参数化SQL语句可以这么写：

1
select * from UserInfo where sex=@sex and age>@age
下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码：

1
2
3
4
5
6
7
8
9
10
11
12
13
//实例化Connection对象
SqlConnection connection = new SqlConnection("server=localhost;database=pubs;uid=sa;pwd=''");
//实例化Command对象
SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection);
//第一种添加查询参数的例子
command.Parameters.AddWithValue("@sex", true);
//第二种添加查询参数的例子
SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int);//注意UserInfo表里age字段是int类型的
parameter.Value = 30;
command.Parameters.Add(parameter);//添加参数
//实例化DataAdapter
SqlDataAdapter adapter = new SqlDataAdapter(command);
DataTable data = new DataTable();
上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库，那么对应的参数化SQL语句及参数分别如下：

数据库 Access MySQL Oracle
SQL语句 select * from UserInfo
where sex=? and age>? select * from UserInfo
where sex=?sex and age>?age select * from UserInfo
where sex=:sex and age>:age
参数 OleDbParameter MySqlParameter OracleParameter
实例化参数 OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean); MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit); OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte);
赋值 p.Value=true; p.Value=1; p.Value=1;
通过上面的实例代码我们可以看出尽管SQL语句大体相似，但是在不同数据库的特点，可能参数化SQL语句不同，例如在Access中参数化SQL语句是在参数直接以“?”作为参数名，在SQL Server中是参数有“@”前缀，在MySQL中是参数有“?”前缀，在Oracle中参数以“:”为前缀。
注意：因为在Access中参数名都是“?”，所以给参数赋值一定要按照列顺序赋值，否则就有可能执行出错。

Command对象传参效率测试

在.net平台，普通的insert语句有两种写法，不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2)，它们的执行效率如何呢？
做了个试验，代码如下：(数据库是oracle)

+ View Code

执行结果：
10000记录：
不传参数?5:46:19 15:46:34 15秒
传参数：?5:50:51 15:51:01 10秒

50000记录：
不传参数 16:09:03 16:10:24 81秒
传参数：：16:15:43 16:16:36 53秒
这只是2个参数的情况，如果参数很多会不会影响更大呢？

10000记录，7个参数：
不传参数：17:11:01 17:11:18 17秒
传参数：17:13:46 17:13:59 13秒
50000记录：7个参数：
不传参数：17:19:02 17:20:25 1分23秒
传参数：17:15:09 17:16:10 1分1秒

需要相差不大，但是向command对象传递参数既可以避免sql注入问题，也可以提高性能；转载请注明出处:

转载自http://lxfamn.cn/blog

未经允许不得转载：lxfamn » VB.NET 防止sql注入