| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 614 人关注过本帖
标题:[注意]不当编写SQL语句导致系统不安全
只看楼主 加入收藏
卜酷塔
Rank: 7Rank: 7Rank: 7
来 自:魅力青岛
等 级:禁止访问
威 望:39
帖 子:2569
专家分:0
注 册:2004-6-12
收藏
 问题点数:0 回复次数:0 
[注意]不当编写SQL语句导致系统不安全
在一般的多用户应用系统中,只有拥有正确的用户名和密码的用户才能进入该系统。我们通常需要编写用户登录窗口来控制用户使用该系统,这里以Visual Basic+ADO为例:   一、漏洞的产生   用于登录的表   Users(name,pwd)   建立一个窗体Frmlogin,其上有两个文本框Text1,Text2和两个命令按钮cmdok,cmdexit。两个文本框分别用于让用户输入用户名和密码,两个命令按钮用于“登录”和“退出”。   1、定义Ado Connection对象和ADO RecordSet对象:
Option Explicit
Dim Adocon As ADODB.Connection
Dim Adors As ADODB.Recordset
  2、在Form_Load中进行数据库连接:
Set Adocon = New ADODB.Connection
Adocon.CursorLocation = adUseClient
adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _
App.Path && " est.mdb;" 
cmdok中的代码
Dim sqlstr As String
sqlstr = "select * from usersswheresname='" && Text1.Text && _ 
"' and pwd='" && Text2.Text && "'"
Set adors = New ADODB.Recordset 
Set Adors=Adocon.Execute(sqlstr)
If Adors.Recordcount>0 Then //或If Not Adors.EOF then
.... 
MsgBox "Pass" //通过验证
Else
... 
MsgBox "Fail" //未通过验证
End if
  运行该程序,看起来这样做没有什么问题,但是当在Text1中输入任意字符串(如123),在Text2中输入a' or 'a'='a时,我们来看sqlstr此时的值:
select * from usersswheresname='123' and pwd='a' or 'a'='a'
  执行这样一个SQL语句,由于or之后的'a'='a'为真值,只要users表中有记录,则它的返回的eof值一定为False,这样就轻易地绕过了系统对于用户和密码的验证。   这样的问题将会出现在所有使用select * from usersswheresname='" && name && "' and pwd='" && password &&"'的各种系统中,无论你是使用那种编程语言。   二、漏洞的特点   在网络上,以上问题尤其明显,笔者在许多网站中都发现能使用这种方式进入需要进行用户名和密码验证的系统。这样的一个SQL漏洞具有如下的特点:   1、与编程语言或技术无关   无论是使用VB、Delphi还是ASP、JSP。   2、隐蔽性   现有的系统中有相当一部分存在着这个漏洞,而且不易觉察。   3、危害性   不需要进行用户名或密码的猜测即可轻易进入系统。   三、解决漏洞的方法   1、控制密码中不能出现空格。   2、对密码采用加密方式。   这里要提及一点,加密不能采用过于简单的算法,因为过于简单的算法会让人能够构造出形如a' or 'a'='a的密文,从而进入系统。   3、将用户验证和密码验证分开来做,先进行用户验证,如果用户存在,再进行密码验证,这样一来也能解决问题。
搜索更多相关主题的帖子: 系统 语句 SQL 编写 
2005-09-23 23:37
快速回复:[注意]不当编写SQL语句导致系统不安全
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.023791 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved