深入浅析.NET应用程序SQL注入

2024-07-10 12:54:46

字体：大中小

来源：转载

供稿：网友

SQL脚本代码，相信很多程序员都不陌生，它能帮助我们验证到我们想要的效果，本文是错新技术频道小编带给大家的深入浅析.NET应用程序SQL注入，一起来了解吧！

SQL脚本代码:

USE MASTER GO--检索SQLTMP数据库是否存在IF EXISTS(SELECT * FROM SYSDATABASES WHERE name = 'SQLTMP')--删除SQLTMP数据库DROP DATABASE SQLTMPGO--创建数据库CREATE DATABASE SQLTMPGO--使用SQLTMP数据库USE SQLTMPGO-------------创建一张表用来验证SQL注入漏洞------------------检索表是否存在IF EXISTS(SELECT * FROM SYSOBJECTS WHERE name = 'admin')--删除表DROP TABLE adminGO--创建表CREATE TABLE admin(id INT PRIMARY KEY IDENTITY(1,1),--设置主键name VARCHAR(20) NOT NULL,--用户名pass VARCHAR(20) NOT NULL--密码)-------------插入一条测试数据---------------------------INSERT INTO admin VALUES('admin','admin')--查询插入数据SELECT * FROM admin

下面是一段验证用户名密码的C#代码:

<font size="3" color="#ff00ff">using System;using System.Collections.Generic;using System.Linq;using System.Text;using System.Threading.Tasks;using System.Data;using System.Data.SqlClient;namespace SQLTmp{class Program{//数据库连接字符串public static String strCon = "Data Source=.;Initial Catalog=SQLTMP;Integrated Security=True";//创建数据库连接对象static SqlConnection SqlCon = new SqlConnection(strCon);static void Main(string[] args){Console.WriteLine("请输入用户名:");String name = Console.ReadLine();Console.WriteLine("请输入密码:");String pass = Console.ReadLine();try{Program p = new Program();//打开数据库连接p.Open();string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";SqlCommand sqlcom = new SqlCommand(sql, SqlCon);int i = (int)sqlcom.ExecuteScalar();if (i > 0){Console.WriteLine("登录成功！");}else{Console.WriteLine("登录失败!");}Console.ReadLine();}catch (Exception){throw;}finally {//关闭数据库连接pass.Clone();}}//打开数据库连接public void Open(){//关闭状态下打开数据库连接if (SqlCon.State == ConnectionState.Closed){SqlCon.Open();}//中断情况下打开数据库连接if (SqlCon.State == ConnectionState.Broken){//关闭SqlCon.Close();SqlCon.Open();}}//关闭数据库连接public void Close() {if (SqlCon.State == ConnectionState.Open || SqlCon.State == ConnectionState.Broken){SqlCon.Close();}}}}</font>

我们来测试一下

输入正确的账号密码:

admin admin

登录成功

输入错误的账号密码:

test test

登录失败

我们在用户名输入:' or 1=1--

密码:123

会发现也能登录成功!

数据库中没有这个账号密码,还会登录成功?

why?

0x03剖析

我们来剖析一下SQL语句的运行过程

利用我的SQL语句跟踪工具(SQL Server Profiler)

单击链接

运行

我们来看一下输正确的账号密码SQL语句的样子

在我们的SQL Server中执行看看,有符合条件的数据

我们再来看看输入错误的账号密码SQL语句的样子

在我们的SQL Server中执行看看,没有符合条件的数据

我们再来看看最后一次的输入的账号密码的SQL语句的样子

我们来看看图片中的SQL语句我们的上面的SQL语句对比一下

<font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = 'admin' AND pass = 'admin'SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1 -- ' AND pass = '123'</font>

我们会发现我们输入的用户名变成了空,后面多了or 1=1 --'这又是为什么,什么原因导致的？？？

到离这里我们就应该看看这一段代码:

<font size="3" color="#ff00ff"> string sql = "SELECT COUNT(*) FROM admin WHERE name = '"+name+"'AND pass = '"+pass+"'";</font>

我们可以看出SQL是中的name和pass是变量是用户输入的账号和密码

我们来看一下输入的用户名:' or 1=1 --

那么用户如输入'的时候就会自动把name = ''闭合

而 or 1=1 将where 条件永远成立

--在SQL是注释的意思会将后面的SQL语句注释掉!!!

那么我们就可以这么认为SQL语句到最后是这个样子的

<font size="3" color="#ff00ff">SELECT COUNT(*) FROM SQLTMP WHERE name = '' or 1=1</font>

0x04防御

有攻击的方式是会有防御的方式

据我所知常用的有俩种方式:

1.通过SQLParameter

好处:预编译SQL语句防止被转意

用法:

<font size="3" color="#ff00ff">string sql = "SELECT COUNT(*) FROM admin WHERE name = [url=home.php?mod=space&uid=116087]@name[/url] AND pass = @pass "; //创建SParameter[]SqlParameter[] para = {new SqlParameter("@name",name),new SqlParameter("@pass",pass)};SqlCommand sqlcom = new SqlCommand(sql, SqlCon);//通过Parameters.addRange方法将para[]放进去sqlcom.Parameters.AddRange(para);int i = (int)sqlcom.ExecuteScalar();</font>

@符号代表的参数,我们把拼接的方式换成了参数的形式

2.存储过程

1.首先在数据库中创建存储过程

<font size="3" color="#ff00ff">CREATE PROC Login (@name VARCHAR(20) ,@pass VARCHAR(20))ASSELECT COUNT(*) FROM admin WHERE name =@name AND pass = @passGO</font>

2. 调用存储过程

<font size="3" color="#ff00ff">SqlParameter[] para = {new SqlParameter("@name",name),new SqlParameter("@pass",pass)};SqlCommand sqlcom = new SqlCommand();sqlcom.Connection = SqlCon;sqlcom.CommandText = "Login";//指定执行类型为存储过程sqlcom.CommandType = CommandType.StoredProcedure;sqlcom.Parameters.AddRange(para);int i = (int)sqlcom.ExecuteScalar();</font>