防止SQL注入方法總結

一、參數化SQL

    是指在設計與數據庫鏈接並訪問數據時，在需要填入數值或數據的地方，使用參數 (Parameter) 來給值，用@來表示參數。

    在使用參數化查詢的情況下，數據庫服務器不會將參數的內容視為SQL指令的一部份來處理，而是在數據庫完成 SQL 指令的編譯后，才套用參數運行，因此就算參數中含有惡意的指令，由於已經編譯完成，就不會被數據庫所運行,因此，可從一定程度上避免SQL注入。（注意：只是一定程度上避免，仍有例外）

在不用的數據庫上基本語法都是一樣的，但在不同的運行平台上客戶端的書寫有不同之處，舉例使用SQL server在.net上執行。

SqlCommand sqlcmd = new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2)", sqlconn);
sqlcmd.Parameters.AddWithValue("@c1", 1); ' 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2); ' 設定參數 @c2 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();

注意：

1、如果存儲過程中使用字符串拼接sql的話，上面的參數化將不會起作用，單引號必須經過判斷並替換，在數據庫中，用2個單引號代表1個實際的單引號。所以，如果是拼接sql字符串的方式，需要用Replace(@para,'''', '''''')來替換一下，將1個單引號替換為2個就沒有問題了。

2、使用這種參數化查詢的辦法，防止SQL注入的任務就交給ADO.NET了, 如果在項目中統一規定必須使用參數化查詢，就不用擔心因個別程序員的疏忽導致的SQL注入漏洞了。     但是，問題還沒有完，SQL注入的漏洞是堵住了，但是查詢結果的正確性，參數化查詢並不能幫上什么忙。

 

二、字符串過濾（在上面方法不能阻止的情況下，可以使用該方法,不推薦使用）

　　//字符串過濾，防止sql注入。
        public bool IsHasSQLInject(string str)
        {
            bool isHasSQLInject = false;

　　　　//字符串中的關鍵字更具需要添加
            string inj_str = "'|and|exec|union|create|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|xp_|or|--|+";
            str = str.ToLower().Trim();
            string[] inj_str_array = inj_str.Split('|');
            foreach (string sql in inj_str_array)
            {
                if (str.IndexOf(sql) > -1)
                {
                    isHasSQLInject = true;
                    break;
                }
            }
            return isHasSQLInject;
        }

三、使用正則表達式過濾傳入的參數（這個方法沒有親自驗證，從網上找來的）

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

檢測MS SQL Server SQL注入攻擊的正則表達式：/exec(\s|\+)+(s|x)p\w+/ix

結合Regular Expression使用，簡稱RE是一種非常強大的文字驗證技術。If Re.Mathc(str,pattern).Success Then 繼續執行，這里使用Match方法來對用戶輸入的內容與定義好的模板進行驗證。

四、前端js防范SQL注入（前端驗證只能起到一定作用，還需要后台參數化阻止SQL注入）

var url = location.search;

var re=/^\?(.*)(select%20|insert%20| delete %20from%20|count\(|drop%20table|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ "|:|net%20user|\|%20or%20)(.*)$/gi;

var e = re.test(url);

if(e) {

     alert(" 地址中含有非法字符～ ");

     location.href=" error.asp";

}