空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

简单三步让你轻松堵死SQL注入漏洞

上一篇 / 下一篇 2008-12-03 07:44:19

SQL注入是什么？
　　
　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。
　　
　　网站的恶梦——SQL注入
　　
　　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。
　　
　　防御SQL注入有妙法
　　
　　第一步：很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试（如图1）。
　　　

　　图1
　　
　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点（图2）。然后只需要几分钟，你的管理员账号及密码就会被分析出来（图3）。
　　　

　　图2
　　

　　图3
　　
　　第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。
　　
　　第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为裁凑饷此的兀勘收呦耄绻乙桓鋈ㄏ拮畲蟮恼撕胖圃旒傧螅砑募觳猓飧稣撕爬锏哪谌菔谴笥谇ё忠陨系闹形淖址突崞仁谷砑哉飧稣撕沤蟹治龅氖焙蚪肴汉勺刺踔磷试春木《阑Ｏ旅嫖颐蔷屠葱薷氖菘獍伞?lt;BR>　　
　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。
　　
　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。
　　
　　3.把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。
　　
　　我们通过上面的三步完成了对数据库的修改。
　　
　　这时是不是修改结束了呢？其实不然，要明白你做的ID1账号其实也是真正有权限的账号，现在计算机处理速度那么快，要是遇上个一定要将它算出来的软件，这也是不安全的。我想这时大多数人已经想到了办法，对，只要在管理员登录的页面文件中写入字符限制就行了！就算对方使用这个有上千字符的账号密码也会被挡住的，而真正的密码则可以不受限制。