参数化查询为什么能够防止SQL注入

迷南。 2022-03-19 14:38 251阅读 0赞

**参数化查询，防止sql注入漏洞攻击**

在这次重构机房收费系统中,有效的解决了SQL注入的问题,这几天对于sql注入攻击进行了详细的研究，在这里做一下回顾。

首先，什么是注入漏洞攻击呢？所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符，比如说过滤掉or, and , select sql等关键字，通过参数化查询解决sql注入漏洞的实例。

所谓的参数化查询（Parameterized Query 或 Parameterized Statement）是指在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成.

例如：SELECT \* FROM myTable WHERE myID = @myID INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)或者SELECT \* FROM myTable WHERE myID = @myID INSERT INTO myTable (c1, c2, c3, c4) VALUES(?,?,?,?)，通过(?)指定占位符，当然在添加参数的时候，必须按照(c1, c2, c3, c4)的顺序来添加，否则会出错。

实例：一个简单的登录案例，登录首页

![1364909713_2771.gif][]

登录代码如下：

privatevoidbtbLogin_Click(objectsender, EventArgs e) { String str =@"Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\Database2.mdf;Integrated Security=true;User Instance=true"; using(SqlConnection con=newSqlConnection (str)) { try { con.Open(); stringcmdText ="select Id from T_User where userName='"+txtLoginName.Text +"' and Password='"+txtPwd.Text+"'"; using(SqlCommand cmd =newSqlCommand(cmdText, con)) { //返回第一行id的值，如果id>0，则证明登录成功 inti = Convert.ToInt32(cmd.ExecuteScalar()); if(i > 0) { MessageBox.Show("Succeed to login the system !"); } else { MessageBox.Show("You have input the wrong name or password !"); } } } catch(Exception ex) { MessageBox.Show(ex.Message); } } }

分析：

数据表T\_User中含有一条数据，userName为admin，Password为123，这样的话输入正确的话能登陆到系统。当用户名输入admin后，在password一栏里输入 1’ or ‘1’=’1 之后按登录按钮，惊奇的发现也能登录成功。  
　　原因输出现在这里： tring cmdText = "select Id  from T\_User where userName='"+txtLoginName.Text() +"' and Password='"+txtPwd.Text()+"'"; 这是一句查询语句，采用的是连接字符串的形式。当在sqlserver中输入select \* from T\_User where userName='admin' and Password ='1' or '1'='1' 这条语句时， sqlserver是正确执行的，也就是返回T\_User表中的所有数据。这也就是为什么会发生sql注入漏洞的原因。

通过注入SQL，这段SQL现在表示的含义是查找(userName='admin'的，且Password='1') 或者1=1 的所有用户,改变了原来自己的初衷,可以看到SQL的语意发生了改变，为什么发生了改变呢？，因为没有重用以前的执行计划，因为对注入后的SQL语句重新进行了编译，因为重新执行了语法解析。所以要保证SQL语义不变，即我想要表达SQL就是我想表达的意思，不是别的注入后的意思，就应该重用执行计划。

如果不能够重用执行计划，那么就有SQL注入的风险，因为SQL的语意有可能会变化，所表达的查询就可能变化。

![2011031917512211.jpg][]

所以，入侵者只要知道了你的数据表中的任意一个用户名，就可以登录你的系统，随意更改数据表的资料，造成无法弥补的损失，但是，是不是我们没有什么改变方法呢?

下面就来讨论一下参数化查询，防止sql注入，代码如下：

<table> 
 <tbody> 
  <tr> 
   <td><span style="font-family:SimSun"><span style="font-size:18px"><br> </span></span></td> 
   <td> 
    <div> 
     <div> 
      <pre><code><span style="font-size:18px;">privatevoidbtbLogin_Click(objectsender, EventArgs e) { stringstr =@"Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\Database2.mdf;Integrated Security=true;User Instance=true"; using(SqlConnection con=newSqlConnection (str)) { try { con.Open(); 　　　　//在查询语句中使用参数 stringcmdText ="select Id from T_User where userName=@user and Password=@pwd"; using(SqlCommand cmd =newSqlCommand(cmdText, con)) { //设定参数user的值为用户输入的用户名 　　　　　　　　　　　cmd.Parameter.Add(newSqlParameter("user",txtLoginName.Text)); //设定参数pwd的值为用户输入的密码 　　　　　　　　　　　cmd.Parameter.Add(newSqlParameter("pwd",txtPassword.Text)); inti = Convert.ToInt32(cmd.ExecuteScalar()); if(i &gt; 0) { MessageBox.Show("Succeed to login the system !"); } else { MessageBox.Show("You have input the wrong name or password !"); } } } catch(Exception ex) { MessageBox.Show(ex.Message); } } }</span></code></pre> 
      <span style="font-size:18px"><br> <br> </span> 
     </div> 
    </div> </td> 
  </tr> 
 </tbody> 
</table>

在查询语句中加入@user和@pwd这样的参数，然后再为参数赋值，利用这样的形式，即可以防止该漏洞的发生。现在，登录的时候再在Password一栏里输入 1’ or ‘1’=’1 ，就不能够登录了，这样就保证了数据库的安全性。

可以看到参数化查询主要做了这些事情：

1：参数过滤，可以看到 @Password='1' or 1=1—'

2：执行计划重用

因为执行计划被重用，所以可以防止SQL注入。

**小结：为参数化查询可以重用执行计划，并且如果重用执行计划的话，SQL所要表达的语义就不会变化，所以就可以防止SQL注入,如果不能重用执行计划，就有可能出现SQL注入，存储过程也是一样的道理，因为可以重用执行计划。**

[1364909713_2771.gif]: https://img-my.csdn.net/uploads/201304/02/1364909713_2771.gif
[2011031917512211.jpg]: /images/20220319/9ede4ca4aec9462abd97d46a785dedc1.png