SQL關(guān)于特殊字符處理的基本方法
當(dāng)前位置:點(diǎn)晴教程→知識管理交流
→『 技術(shù)文檔交流 』
一定要對用戶可能輸入的諸如引號,尖括號等特殊字符給予足夠重視,它們可能引發(fā)嚴(yán)重的安全問題。SQL注入的基本手法之一,就是利用對單引號未加過濾的安全漏洞。 用戶的輸入無非兩個(gè)用途:對數(shù)據(jù)庫操作或顯示在頁面上,下面分別對這兩種情況下特殊字符的處理加以說明。 1. 對數(shù)據(jù)庫操作 用戶輸入的數(shù)據(jù)用于對數(shù)據(jù)庫進(jìn)行操作時(shí),又分為兩種情況,一是進(jìn)行寫庫操作,二是作為查詢條件。 1.1 寫庫操作 (insert及update都視為寫庫操作,這果以insert為例說明,update的處理相同) 一般采用insert語句或AddNew方法兩種方式進(jìn)行寫庫操作,我們先來看insert語句: DIM username,sqlstr username = trim(Request.Form("uname")) sqlstr = "insert into [userinfo] (username) values ('"& username &"')" 以SQL Server為例,使用這種方式寫庫,如果username中含用單引號('),會出錯(cuò)。使用下面的自定義函數(shù),可以將單引號進(jìn)行轉(zhuǎn)換: Rem 轉(zhuǎn)換SQL非法字符 function SQLEncode(fString) if isnull(fString) then SQLEncode = "" exit function end if SQLEncode=replace(fString,"'","''") end function 以上函數(shù)將一個(gè)單引號轉(zhuǎn)換為兩個(gè)連續(xù)的單引號,數(shù)據(jù)庫能夠接受,并以一個(gè)單引號寫入。SQL語句改為: sqlstr = "insert into [userinfo] (username) values ('"& SQLEncode(username) &"')" 再來看AddNew方法: DIM username username = trim(Request.Form("uname")) 'MyRst為Recordset對象,MyConn為Connection對象 MyRst.open "[userinfo]",MyConn,0,3 MyRst.AddNew MyRst("username").Value = username MyRst.Update MyRst.Close 使用這種方式寫庫時(shí),不必調(diào)用SQLEncode()對單引號進(jìn)行轉(zhuǎn)換,數(shù)據(jù)庫會自行處理。 對于存儲過程的的參數(shù),同樣不必進(jìn)行單引號的轉(zhuǎn)換。 建議大家利用存儲過程進(jìn)行操作,好處嘛,我在《ASP與存儲過程》一文中已做了闡述。否則,建議使用AddNew方法寫庫,好處不僅僅在于避免對單引號進(jìn)行處理,本文對此不作深入探討。 1.2 用戶輸入做為查詢條件 如果用戶輸入的數(shù)據(jù)作為查詢條件出現(xiàn)在where子句中,不論該where子句屬于update語句、delete語句還是select語句,都要對單引號進(jìn)行轉(zhuǎn)換。 2. 用戶輸入的數(shù)據(jù)作為輸出,顯示在頁面上 我們這里只討論不允許用戶使用HTML代碼的情況,也就是說,即使用戶輸入了HTML代碼,這些數(shù)據(jù)也不會以HTML代碼的形式顯示。至于允許用戶使用HTML代碼的情況,比較復(fù)雜,以后專文探討。 用戶輸入的數(shù)據(jù)是絕對不可以不加處理,原樣顯示的。如果其中包含HTML或js代碼,使你的頁面混亂不堪倒是小事,甚至可以格掉你的硬盤。 輸出顯示在頁面上的數(shù)據(jù),有可能是用戶的直接輸入,或是取自數(shù)據(jù)庫。可以看到以上在入庫時(shí)的處理只是轉(zhuǎn)換了單引號,對尖括號,雙引號等特殊字符并未處理,我們放在輸出的時(shí)候再進(jìn)行處理。 ASP中的server.HTMLEncode()方法可以將許多字符轉(zhuǎn)換為“HTML字符”,如將<轉(zhuǎn)換為<,將>轉(zhuǎn)換為>等等。 在數(shù)據(jù)顯示在頁面上之前,可以用server.HTMLEncode()對其進(jìn)行轉(zhuǎn)換。但是該方法不會對回車,空格進(jìn)行轉(zhuǎn)換,這樣就造成以下問題:如果用戶是通過textarea控件輸入的數(shù)據(jù),輸出時(shí)將不會保留原有格式,不僅沒有回車換行,多個(gè)空格也只會顯示為一個(gè)。為了解決這個(gè)問題,我們使用以下自定義函數(shù): Rem 轉(zhuǎn)換HTML非法字符,用于輸出顯示時(shí) function HTMLEncode(fString) if not isnull(fString) then fString = Replace(fString, ">", ">") fString = Replace(fString, "<", "<") fString = Replace(fString, CHR(34), """) '雙引號 fString = Replace(fString, CHR(39), "'") '單引號 fString = Replace(fString, CHR(32)&CHR(32), " ") '空格 fString = Replace(fString, CHR(9), " ") 'tab鍵值 fString = Replace(fString, CHR(10), "<br>") '換行 fString = Replace(fString, CHR(13), "") '回車 HTMLEncode = fString end if end function 調(diào)用以上函數(shù),輸出通過textarea控件輸入的數(shù)據(jù),會得到滿意的結(jié)果。 如果數(shù)據(jù)輸出在表單控件中,不論是何種控件,都可利用server.HTMLEncode()方法轉(zhuǎn)換字符,即使是對于textarea控件,也不會產(chǎn)生問題。雖然回車空格沒有被轉(zhuǎn)換,但在該控件中可以被識別。但是,server.HTMLEncode()方法不轉(zhuǎn)換單引號。所以,控件的值一定要使用雙引號: <input type=text name=uname value=""" & server.HTMLEncode(username) & """> 否則,如果用戶輸入的是 '' onclick=javascript:.... ,以上代碼將顯示為: <input type=text name=uname value='' onclick=javascript:...> 而javascript命令可以做的事情實(shí)在是太多了。 以上,通過用戶輸入數(shù)據(jù)的兩種用途,對特殊字符的處理做了大概的說明。還有一種情況:用戶的輸入作為GET請求的參數(shù)值。比如通過以下URL向服務(wù)器發(fā)送請求:test.asp?username=MyName 我一般只把數(shù)值型的數(shù)據(jù)做此類提交,并在接收時(shí)對數(shù)據(jù)類型做驗(yàn)證。若是字符型的數(shù)據(jù),如何處理特殊字符呢?有興趣的朋友思考一下吧,呵呵。 有些朋友喜歡用JAVAScript過濾特殊字符,而且限制輸入的字符很多。我不建議這么做,一是JAVAScript是客戶端運(yùn)行的,不可靠。要知道,對服務(wù)器的請求是可以偽造的,偽造者可不會加上你的JAVAScript代碼;二是JAVAScript不太友好;三者,實(shí)際上沒有必要限制那么多字符,限制太多,用戶會害怕的。 總結(jié)一下我對特殊字符處理的經(jīng)驗(yàn)吧: 1. 對接收到的數(shù)據(jù)類型進(jìn)行驗(yàn)證;
2. 盡量通過存儲過程對數(shù)據(jù)庫進(jìn)行操作; 3. 如上一點(diǎn)不可行,盡量使用AddNew方法寫庫; 4. 對作為查詢條件的數(shù)據(jù),使用自定義函數(shù)SQLEncode()轉(zhuǎn)換單引號; 5. 表單控件的值,一定要用雙引號引起來; 6. 在表單控件中顯示數(shù)據(jù)時(shí),使用server.HTMLEncode()方法轉(zhuǎn)換字符; 7. 對于通過textarea提交的數(shù)據(jù),使用自定義函數(shù)HTMLEncode()轉(zhuǎn)換字符并保持格式; 8. 盡量避免使用Request()接收數(shù)據(jù),應(yīng)使用Request.Form()或Request.QueryString(); 9. 盡量避免通過URL傳遞字符參數(shù)(只用此方式傳遞數(shù)值參數(shù)) 該文章在 2011/2/16 0:02:35 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
