第2章 输入验证类缺陷分析

2.1 SQL注入

2.1.1 SQL注入的概念

SQL注入指通过将SQL命令插入应用程序的HTTP请求，并在服务器端被接收后用于数据库操作，最终达到欺骗服务器执行恶意的SQL命令的目的。理论上讲，在应用程序中只要是与数据库有数据交互的地方，无论是进行增、删，还是进行改、查，只要数据完全受用户控制，而应用程序又处理不当，那么这些地方都可能存在SQL注入。目前，几乎所有的开发语言（如Java、PHP、Python、ASP等）都可以使用SQL数据库来存放数据，处理不当就可能导致SQL注入问题的发生。本节分析SQL注入产生的原因、危害以及修复方法。

2.1.2 SQL注入的危害

恶意攻击者除了可以利用SQL注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息），甚至还可以在数据库权限足够的情况下向服务器中写入一句话木马，从而获取Webshell或进一步获取服务器系统权限。CVE中也有一些与之相关的漏洞信息，如表2-1所示。

2.1.3 实例代码

本节使用实例的完整源代码可参考本书配套资源文件夹，源文件名：CWE89_SQL_Injection__connect_tcp_execute_01.java。（注意：本书代码行号与提供的实例资源一致。）

1）缺陷代码

代码片段1：

代码片段2：

可以看到数据在第54行被污染，在第58行将污染数据传递给data，data并未经任何安全处理就在第115行直接用于SQL拼接，且参与数据库操作，从而导致SQL注入的产生。

2）修复代码

上述修复代码的第305行执行SQL时采用预编译，使用参数化的语句，因此用户的输入就被限制于一个参数中。

2.1.4 如何避免SQL注入

（1）使用预编译处理输入参数：要防御SQL注入，用户的输入就不能直接嵌套在SQL语句中。使用参数化的语句，用户的输入可被限制于一个参数中，实例代码如下。

（2）输入验证：检查用户输入的合法性，以确保输入的内容为正常的数据。数据检查应当在客户端和服务器端都执行，之所以要执行服务器端验证，是因为客户端校验的目的往往只是减轻服务器的压力和提高对用户的友好度，攻击者完全有可能通过抓包修改参数，或在获得网页的源代码后，修改验证合法性的脚本或直接删除脚本，然后将非法内容通过修改后的表单提交给服务器等，从而绕过客户端的校验。因此，要保证验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。但是这些方法很容易出现由于过滤不严导致恶意攻击者绕过过滤的情况，因此需要慎重使用。

（3）错误消息处理：防范SQL注入，还要避免出现一些详细的错误消息，恶意攻击者往往会利用这些报错信息来判断后台SQL的拼接形式，甚至是直接利用这些报错进行注入攻击，将数据库中的数据通过报错信息显示出来。

（4）加密处理：将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。