机房收费系统（3）--SQL注入攻击

大家可能对于这个名词有一点点陌生，没事先让我们来看看百度百科：所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

大家想一下，假如我是一个没有注册过会员的人，按道理说我是不能够去上网的，但是我通过在登录名那里输入点东西后我就上去了，但是主机那里是不会显示的，除非是查看日志文件才能发现，这就会出问题。我们在编辑时应该限制几个特殊的字符，例如 “_”。或者应该注意一下这几点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过 正则表达式，或限制长度；对单引号和 双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用 存储过程进行数据查询存取。

3.永远不要使用 管理员 权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的 错误信息对原始错误信息进行包装。

另外还应该注意运算逻辑来骗取系统：

后台身份验证绕过漏洞，验证绕过漏洞就是'or'='or'后台绕过漏洞，利用的就是AND和OR的运算规则，从而造成后台脚本逻辑性错误，例如管理员的账号密码都是admin，那么再比如后台的数据库查询语句是user=request("user")，passwd=request("passwd")；

sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''

那么我使用'or 'a'='a来做用户名密码的话，那么查询就变成了：select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

这样的话，根据运算规则，这里一共有4个查询语句，那么查询结果就是 假or真and假or真，先算and 再算or，最终结果为真，这样就可以进到后台了这种漏洞存在必须要有2个条件，第一个：在后台验证代码上，账号密码的查询是要同一条查询语句，也就是类似：

sql="select * from admin where username='"&username&'&"passwd='"&passwd&'

如果一旦账号密码是分开查询的，先查帐号，再查密码，这样的话就没有办法了。

主要还是大家自己注意点，不要给“不法分子”以可乘之机！