MSSQL注入攻击及防范之法

MSSQL注入攻击及防范之法

MSSQL注入攻击（MSSQL Injection）是由攻击者在输入框中输入歹意代码（如SQL语句）通过无控制输入酿成的一种安全漏洞，当数据库服务器履行攻击者料想不到的语句时，就能够攻破服务器安全，破坏服务器系统及数据。MSSQL注入攻击既可以获得数据库中的敏感信息，也能够创建、更新、删除数据。

MSSQL注入攻击常见于处理用户提供的输入未遭到严格的拦截管理的利用程序，在数据库身份验证期间允许用户登录时，攻击者可使用MSSQL注入攻击获得用户的登录信息。

因此，要避免MSSQL注入攻击，首先应采取的正确的编程风格例如，对用户输入的数据进行校验和过滤，例如：

1、严格检查用户输入，谢绝非常规字符，比如双引号，分号等；

2、针对区别角色可能使用区别的身份验证来控制和改变用户的权限；

3、使用预处理的查询，而不是拼接sql语句；

4、根据业务需要，对具有高度变动的查询使用存储进程；

5、不将用户输入的值直接放入查询中，而是通过参数化查询；

6、应当使用正确的数据类型，如varchar，而不是text或其它；

7、尽可能使用Web服务安全组件来限制输入；

8、尽量不对用户所指定的字段进行排序。

例如以下代码中，采取参数化查询，使用SqlParameter对用户输入的参数进行过滤及转义。

String sql = “SELECT * FROM Users WHERE Username=@userName AND Password=@password”;

SqlParameter[] parameters = new SqlParameter[2];

parameters[0] = new SqlParameter(“@userName”, SqlDbType.VarChar);

parameters[0].Value = txtName.Text;

parameters[1] = new SqlParameter(“@password”, SqlDbType.VarChar);

parameters[1].Value = txtPassword.Text;

使用上述防范方法能有效尽早预防MSSQL注入攻击的产生，保护数据库的安全。因此，MSSQL注入攻击的预防对系统的安全有侧重要的意义，希望开发者尽早采取防范措施，确保网站数据库安全，同时避免用户隐私信息外泄，取得更加安全的访问环境。

本文来源：https://www.yuntue.com/post/119970.html | 云服务器网，转载请注明出处！