在開發(fā)人員承受越來越多的安全責(zé)任之時，許多開發(fā)人員了解到的第一個Web應(yīng)用安全漏洞，是一個被稱為“SQL注入”的極危險的命令注入形式。命令注入的原始的形式本是指這樣一種漏洞：攻擊者通過提供一個正常使用者意料之外的輸入，改變你的Web應(yīng)用程序的運行方式，從而允許攻擊者運行服務(wù)器上的非授權(quán)的命令。無疑，SQL注入式攻擊是很常見的、被廣泛使用的攻擊形式。幸運的是，一旦我們理解了這個問題，就可以很容易地防止SQL注入式攻擊。更妙的是，現(xiàn)在微軟的數(shù)據(jù)訪問技術(shù)向.NET開發(fā)人員提供了徹底地清除SQL注入漏洞的機會，當(dāng)然前提是能夠正確使用。這種技術(shù)稱為“語言級集成查詢”（Language Integrated Query (LINQ)），并隨Visual Studio "Orcas" 和 .NET Framework 3.5一起發(fā)布。本文將討論如何通過LINQ強化Web應(yīng)用程序的數(shù)據(jù)訪問代碼，從而解決通過SQL注入進行攻擊的問題。

SQL注入是一種Web應(yīng)用程序的安全漏洞，通過它攻擊者可以將惡意數(shù)據(jù)提交給應(yīng)用程序，欺騙應(yīng)用程序在服務(wù)器上執(zhí)行惡意的SQL命令。理論上講，這種攻擊是容易預(yù)防的，不過由于其允許攻擊者直接運行針對用戶關(guān)鍵數(shù)據(jù)的數(shù)據(jù)庫命令，從而成為一種常見的、危害性大的攻擊形式。在非常極端的情況下，攻擊者不但能夠自由地控制用戶的數(shù)據(jù)，還可以刪除數(shù)據(jù)表和數(shù)據(jù)庫，甚至控制整個數(shù)據(jù)庫服務(wù)器。

如果這種攻擊容易預(yù)防，那么為什么還如此危險呢？首先，由于眾所周知的經(jīng)濟上的原因，你的應(yīng)用數(shù)據(jù)庫是非常誘人的，可以引起攻擊者的極大注意。如果SQL注入漏洞在Web應(yīng)用程序中可能存在著，那么對于一個攻擊者來說是很容易檢測到的，然后就可以利用它。很顯然，即使SQL注入錯誤并不是開發(fā)人員最經(jīng)常犯的錯誤，它們也很容易被發(fā)現(xiàn)和利用。

對SQL注入的剖析

這里我們給出一個SQL注入的例子來說明兩個問題，一是SQL注入這種錯誤是很容易犯的，二是只要進行嚴(yán)格的程序設(shè)計，這種錯誤是很容易預(yù)防的。

這個示例用的Web應(yīng)用程序包含一個名為SQLInjection.ASPx簡單的客戶搜索頁面，這個頁面易于受到SQL注入攻擊。此頁面包含一個CompanyName的輸入服務(wù)器控件，還有一個數(shù)據(jù)表格控件，用于顯示從微軟的示例數(shù)據(jù)庫Northwind的搜索結(jié)果（這個數(shù)據(jù)庫可從SQL Server 2005中找到）。在搜索期間執(zhí)行的這個查詢包含一個應(yīng)用程序設(shè)計中很普通的錯誤：它動態(tài)地從用戶提供的輸入中生成查詢。這是Web應(yīng)用程序數(shù)據(jù)訪問中的一個主要的錯誤，因為這樣實際上潛在地相信了用戶輸入，并直接將其發(fā)送給你的服務(wù)器。在從“搜索”的單擊事件啟動時，這個查詢看起來是這個樣子：

protected void btnSearch_Click(object sender, EventArgs e)            {      String cmd = "SELECT [CustomerID], [CompanyName], [ContactName]            FROM [Customers] WHERE CompanyName ='" + txtCompanyName.Text            + "'";            SqlDataSource1.SelectCommand = cmd;            GridView1.Visible = true;            }

在這種情況下，如果一個用戶輸入“Ernst Handel”作為公司名，并單擊“搜索”按鈕，作為響應(yīng)屏幕會向用戶顯示那個公司的記錄，這正是我們所期望的理想情況。不過一個攻擊者可以輕易地操縱這個動態(tài)查詢。例如，攻擊者通過插入一個UNION子句，并用一個注釋符號終止這個語句的剩余部分。換句話說，攻擊者不是輸入“Ernst Handel”，而是輸入如下的內(nèi)容：

Ernst Handel' UNION SELECT CustomerID, ShipName, ShipAddress            FROM ORDERS--

其結(jié)果是這個SQL語句在服務(wù)器端執(zhí)行，由于添加了這個惡意的請求。它會將這個動態(tài)的SQL查詢轉(zhuǎn)換為下面的樣子：

SELECT [CustomerID], [CompanyName],            [ContactName]            FROM [Customers]            WHERE CompanyName ='Ernst Handel'            UNION SELECT CustomerID, ShipName,            ShipAddress            FROM ORDERS--'

這是一個相當(dāng)合法的SQL語句，它可以在應(yīng)用程序數(shù)據(jù)庫上執(zhí)行，返回order表中所有的客戶，這些客戶通過應(yīng)用程序已經(jīng)處理了定單。

典型的SQL防護

可以看出，在你的應(yīng)用程序中創(chuàng)造并利用一個SQL注入漏洞是多么容易。幸運的是，如前所述，只需要采取幾項簡單的對策通常就可以預(yù)防SQL注入攻擊。最常用的、成本效率最高的預(yù)防SQL注入攻擊的方法是驗證應(yīng)用程序中所有的最終用于數(shù)據(jù)訪問的數(shù)據(jù)輸入。用戶發(fā)出的任何輸入，不管是通過Web應(yīng)用程序輸入的或者是常駐于數(shù)據(jù)存儲設(shè)備的，都要在服務(wù)器處理你的數(shù)據(jù)訪問命令之前在服務(wù)器端驗證其類型、長度、格式和范圍。不幸的是，基于代碼的對策并不十分安全，而且有可能失敗，特別是當(dāng)發(fā)生如下情況時：

驗證程序設(shè)計不當(dāng)

驗證僅在客戶層面執(zhí)行

在應(yīng)用程序中，驗證時遺漏了字段（有時即使是一個字段）。

防止SQL注入的另外一層涉及正確地確定應(yīng)用程序中所有SQL查詢的參數(shù)，不管是在動態(tài)SQL語句中還是在存儲過程中。例如，如果代碼像下面這樣構(gòu)建查詢，就比較安全：

SELECT [CustomerID], [CompanyName], [ContactName]            FROM [Customers]            WHERE CompanyName = @CompanyName

當(dāng)作為SQL語句的一部分執(zhí)行時，參數(shù)化查詢將輸入作為一個字面值，因此服務(wù)器就可能將帶參數(shù)的輸入作為可執(zhí)行代碼。即使你使用了存儲過程，你仍然必須采取另外一步來確定輸入的參數(shù)，因為存儲過程并不對嵌入式查詢中的SQL注入提供保護。

即使采取這上述的簡單修正措施，SQL注入對許多公司來說仍然是一個大問題。對開發(fā)團隊的挑戰(zhàn)是要教育每一個開發(fā)人員謹(jǐn)慎對待這些類型的漏洞，采取有目的的和有效的安全標(biāo)準(zhǔn)來防止攻擊，增強標(biāo)準(zhǔn)和操作安全的評估， 確認(rèn)無任何疏漏。這樣就會需要引入許多變量去保證應(yīng)用程序安全，因此如果你選擇一項能夠使SQL注入式攻擊成為不可能的數(shù)據(jù)訪問技術(shù)，你的效率將會更高。這正是LINQ發(fā)揮作用之所在

LINQ概述

LINQ增加了用任何類型的數(shù)據(jù)存儲進行查詢和更新數(shù)據(jù)的標(biāo)準(zhǔn)模式，無論是SQL數(shù)據(jù)庫還是XML文檔，還是.NET對象都是這樣。在構(gòu)建數(shù)據(jù)庫驅(qū)動的應(yīng)用程序時，LINQ能夠使開發(fā)人員像管理C#或者VB中的對象那樣管理相關(guān)數(shù)據(jù)，這稱為“LINQ to SQL”，被看作是ADO.NET數(shù)據(jù)技術(shù)系統(tǒng)的一部分。在最初以CTP形式引入時，LINQ to SQL被認(rèn)為是DLINQ。

LINQ to SQL使得你將應(yīng)用程序中的數(shù)據(jù)作為你所使用的編程語言中的本地對象，簡化相關(guān)數(shù)據(jù)管理和數(shù)據(jù)庫連接的復(fù)雜性。事實上，你可以通過LINQ顯示和操作數(shù)據(jù)庫的數(shù)據(jù)，而無需你編寫任何SQL語句。在運行時刻，LINQ to SQL將嵌入或“集成”到你的代碼中的查詢轉(zhuǎn)換成SQL，并在數(shù)據(jù)庫系統(tǒng)上執(zhí)行它們。LINQ to SQL以對象的形式將查詢結(jié)果返回到應(yīng)用程序中，完全轉(zhuǎn)移了你與數(shù)據(jù)庫及SQL的交互形式。沒有什么清除Web應(yīng)用程序中的SQL注入的方法能夠比從應(yīng)用程序中清除SQL更快。停靠LINQ to SQL，你就可以實現(xiàn)。

保障LINQ數(shù)據(jù)庫存取的安全

LINQ to SQL在專用于數(shù)據(jù)存取時，清除了SQL注入存在于你的應(yīng)用程序中的可能性，原因很簡單：LINQ代表你執(zhí)行的每次查詢都加上了具體的參數(shù)。在LINQ從你植入的查詢語句中構(gòu)建SQL查詢時，無論源自何處，提交給查詢的任何輸入都被當(dāng)作字面值。而且，通過IntelliSense和編譯時的語法檢查，LINQ與Visual Studio Orcas的集成可以幫助開發(fā)人員構(gòu)建合法的查詢。編譯器可以捕捉大量的對查詢的錯誤使用，這些錯誤使用可以將功能上的缺陷或其它類型的漏洞帶入到你的應(yīng)用程序中。與此不同的是，在你獲知它正確與否之前，你編寫的SQL語句只在運行時刻在數(shù)據(jù)庫系統(tǒng)上解析。針對LINQ to SQL的唯一攻擊途徑是攻擊者欺騙LINQ形成非法的或無意識的SQL。幸運的是，語言和編譯器就是設(shè)計來保護這個方面的。

在清楚了上述的基本思想后，下面我們就展示應(yīng)該如何運用LINQ to SQL防護SQL注入式攻擊，并具體討論一個客戶搜索的例子。第一步是創(chuàng)建數(shù)據(jù)庫中有關(guān)數(shù)據(jù)的對象模型。Visual Studio Orcas包含一個新的對象關(guān)系設(shè)計器（Object Relational Designer），這個設(shè)計器使你能夠生成一個完全的對象模型。為了為我們的Northwind Customers表構(gòu)建一個對象模型，你通過選擇“增加新項目…”并選擇“LINQ to SQL File”模板（這個模板是在對象關(guān)系設(shè)計器中打開的），在應(yīng)用程序中創(chuàng)建一個LINQ to SQL的數(shù)據(jù)庫。為了給 Customers表自動構(gòu)建完全的對象模型，在服務(wù)器資源管理器 (Server Explorer)中選擇這個表，并將它拖到對象關(guān)系設(shè)計器的設(shè)計層面上。在這個例子中，對象關(guān)系設(shè)計器增加了一個名為Customers.designer.cs的文件，這個文件以代碼的形式定義了你將要使用的類，而不是編寫代碼直接與數(shù)據(jù)庫進行交互。

在為Customers表中的數(shù)據(jù)定義了對象模型的類之后中，你可以為客戶的數(shù)據(jù)搜索頁面直接以代碼的形式查詢數(shù)據(jù)。LINQ-powered 頁面（LINQtoSQL.ASPx.cs）的Page_Load方法，具體展現(xiàn)了由對象關(guān)系設(shè)計器創(chuàng)建的CustomersDataContext類，重新使用了前面在SQLInjection.ASPx頁面中使用的連接字符串。下面的LINQ查詢重新使用了與where子句匹配的Customer對象的集合。

protected void Page_Load(object sender, EventArgs e)            {            string connectionString =            ConfigurationManager.ConnectionStrings            ["northwndConnectionString1"].ConnectionString;            CustomersDataContext db = new            CustomersDataContext(connectionString);            GridView1.DataSource =            from customer in db.Customers            where customer.CompanyName ==            txtCompanyName.Text            orderby customer.CompanyName            select customer;            GridView1.DataBind();            }

在使用了LINQ to SQL之后，如果我們將“Ernst Handel”作為搜索值，由LINQ在運行時生成并在服務(wù)器上執(zhí)行的SQL語句看起來將會是如下這個樣子：

SELECT [t0].[CustomerID], [t0].[CompanyName],            [t0].[ContactName], [t0].[ContactTitle], [t0].[Address],            [t0].[City], [t0].[Region], [t0].[PostalCode], [t0].[Country],            [t0].[Phone], [t0].[Fax]            FROM [dbo].[Customers] AS [t0]            WHERE [t0].[CompanyName] = @p0            ORDER BY [t0].[CompanyName]}

可以看出，WHERE子句自動被加上了參數(shù)，因此，用傳統(tǒng)的SQL注入式攻擊是無法造成破壞的。不管用戶將什么值作為輸入提交給搜索頁面，這個查詢是安全的，它不允許用戶的輸入執(zhí)行服務(wù)器上的命令。如果你輸入了前面例子中用來實施SQL注入攻擊的字符串，查詢并不會返回任何信息。事實上，一個用戶用這個查詢可以進行的最大的破壞是執(zhí)行一次強力攻擊（或稱蠻力攻擊(Brute force attack)），主要通過使用搜索功能窮舉Customers表中所有公司的記錄，其使用的方法是猜測每一個可能的值。不過，即使這樣也只提供了那個頁面上所暴露的Customers表中的值，并不會給攻擊者注入命令的機會，這里的命令指的是訪問數(shù)據(jù)庫中額外的數(shù)據(jù)表的命令。

LINQ與安全

正如前面的例子所顯示的那樣，在Web應(yīng)用程序中引入SQL注入漏洞是很容易的，不過采用適當(dāng)?shù)姆椒ㄒ踩菀仔拚@些漏洞。但是，沒有什么方法天生就能防止開發(fā)人員犯這些簡單的但卻是危險的錯誤。然而，微軟的LINQ to SQL技術(shù)通過讓開發(fā)人員直接與對象模型交互而不是直接與數(shù)據(jù)庫交互，消除了來自數(shù)據(jù)庫應(yīng)用程序的SQL注入攻擊的可能性。內(nèi)建于c#和Visual Basic的 LINQ基礎(chǔ)結(jié)構(gòu)關(guān)注正確地表述合法而安全的SQL語句，可以防止SQL注入攻擊，并使開發(fā)人員專注于對他們來說最自然的程序設(shè)計語言。不管你是將LINQ to SQL用作新的.NET應(yīng)用程序開發(fā)的一部分，還是對它進行花樣翻新，用于現(xiàn)有的實際應(yīng)用程序的數(shù)據(jù)訪問，你都是作了一個構(gòu)建更安全的應(yīng)用程序的選擇。

it知識庫：使用LINQ解除SQL注入安全問題，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。