不当编写SQL语句招致系统不安全[MSSQL防范]

在普通的多用户利用系统中,只有拥有精确的用户名和密码的用户才能进入该系统.我们普通需求编写用户登录窗口来掌握用户利用该系统,这里以Visual Basic+ADO为例:
1、漏洞的产生

　　用于登录的表

　　Users(name,pwd)

　　成立一个窗体Frmlogin,其上有两个文本框Text1,Text2和两个号令按钮cmdok,cmdexit.两个文本框辨别用于让用户输入用户名和密码,两个号令按钮用于"登录"和"退出".

　　1、定义Ado Connection对象和ADO RecordSet对象:

　　Option Explicit

　　Dim Adocon As ADODB.Connection

　　Dim Adors As ADODB.Recordset

　　2、在Form_Load中举行数据库衔接:

　　Set Adocon = New ADODB.Connection

　　Adocon.CursorLocation = adUseClient

　　adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _

　　App.Path && " est.mdb;"

　　cmdok中的代码

　　Dim sqlstr As String

　　sqlstr = "select * from usersswheresname='" && Text1.Text && _

　　"' and pwd='" && Text2.Text && "'"

　　Set adors = New ADODB.Recordset

　　Set Adors=Adocon.Execute(sqlstr)

　　If Adors.Recordcount>0 Then //或If Not Adors.EOF then

　　....

　　MsgBox "Pass" //通过考证

　　Else

　　...

　　MsgBox "Fail" //未通过考证

　　End ifwwww.iTbulo.comELTNl

运行该程序,看起来这样做没有什么问题,但是当在Text1中输入肆意字符串(如123),在Text2中输入a' or 'a'='a时,我们来看sqlstr此时的值:

　　select * from usersswheresname='123' and pwd='a' or 'a'='a'

　　履行这样一个SQL语句,由于or之后的'a'='a'为真值,只要users表中有记录,则它的返回的eof值一定为False,这样就简单地绕过了系统关于用户和密码的考证.

　　这样的问题将会呈目前全部利用select * from usersswheresname='" && name && "' and pwd='" && password &&"'的各种系统中,无论你是利用那种编程语言.

　　2、漏洞的特点

　　在网络上,以上问题特别明显,笔者在很多网站中都发现能利用这种方法进入需求举行用户名和密码考证的系统.这样的一个SQL漏洞具有以下的特点:

　　1、与编程语言或技术无关

　　无论是利用VB、Delphi还是ASP、JSP.

　　2、躲藏性

　　现有的系统中有相当一部份存在着这个漏洞,并且不易发觉.

　　3、危害性

　　不需求举行用户名或密码的猜想便可简单进入系统.

　　3、办理漏洞的办法

　　1、掌握密码中不能呈现空格.

　　2、对密码采取加密方法.

　　这里要说起一点,加密不能采取过于简单的算法,因为过于简单的算法会让人可以构造出形如a' or 'a'='a的密文,从而进入系统.

　　3、将用户考证和密码考证脱离来做,先举行用户考证,假如用户存在,再举行密码考证,这样一来也能办理问题.wwww.iTbulo.comELTNl