我是否可以通过转义单引号和用单引号包围用户输入来防止SQL注入?

我是否可以通过转义单引号和用单引号包围用户输入来防止SQL注入?

我意识到,在构建包含用户输入的查询时,参数化SQL查询是对用户输入进行清理的最佳方法,但我想知道接受用户输入和转义任何单引号并用单引号包围整个字符串有什么问题。下面是代码:

sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'"

用户输入的任何单引号都将替换为双引号,这将消除用户结束字符串的能力,因此他们可能键入的任何其他内容(如分号、百分比符号等)都将是字符串的一部分,而不是作为命令的一部分实际执行。

我们使用的是MicrosoftSQLServer 2000,我认为单引号是唯一的字符串分隔符,也是转义字符串分隔符的唯一方法,因此无法执行用户键入的任何内容。

我看不出有什么方法可以针对这种情况发起SQL注入攻击,但我意识到,如果这像我所认为的那样防弹,其他人就会想到这一点,这将是一种常见的做法。

这个密码怎么了?是否有办法使SQL注入攻击超过这种消毒技术?使用此技术的示例用户输入将非常有用。


最新情况:

我仍然不知道如何有效地针对这段代码发起SQL注入攻击。有几个人建议反斜杠会转义一个单引号,让另一个单引号结束字符串,以便字符串的其余部分作为SQL命令的一部分执行,我意识到这个方法可以将SQL注入MySQL数据库,但是在SQL Server 2000中,我能够找到的唯一方法是用另一个单引号来转义单引号;反斜杠不能做到这一点。

而且,除非有一种方法来停止转义单引号,否则将不会执行其余的用户输入,因为它都将被视为一个连续字符串。

我知道有更好的方法来消毒输入,但我更感兴趣的是学习为什么我提供的方法不能工作。如果有人知道针对这种消毒方法进行SQL注入攻击的任何具体方法,我很乐意看到它。



犯罪嫌疑人X
浏览 858回答 3
3回答

森栏

好的,这个答复将与问题的更新有关:“如果有人知道针对这种消毒方法进行SQL注入攻击的任何具体方法,我很乐意看到它。”现在,除了MySQL反斜杠转义-并且考虑到我们实际上是在讨论MSSQL,实际上有三种可能的方法来注入您的代码SaniizedInput=“‘”&替换(sInput、“’”)和“‘”请考虑到,这些代码并非在任何时候都有效,并且非常依赖于其周围的实际代码:如果基于从数据库检索的数据重新生成sql查询,则为二阶sql注入。逃出,数据未经转义就连接在一起,可能是间接注入SQL的.看见字符串截断-(稍微复杂一点)-场景是有两个字段,比如用户名和密码,SQL将这两个字段连接起来。这两个字段(或者仅仅是第一个字段)都有一个严格的长度限制。例如,用户名限制为20个字符。假设你有这样的代码:username = left(Replace(sInput, "'", "''"), 20)然后你得到的是用户名,转义,然后修剪成20个字符。这里的问题-我会坚持我的引号在第20个字符(例如,在19个a‘s之后),你的转义引号将被削减(在第21字符)。然后是SQL。sSQL = "select * from USERS where username = '" + username + "'  and password = '" + password + "'"与上述格式错误的用户名相结合,将导致密码已经被外引号,并将直接包含有效载荷。3.Unicode走私-在某些情况下,可以传递一个高级Unicode字符相貌就像一句名言,但是不是-直到它到达数据库,在那里突然它是..因为当你验证它的时候,它不是引号,所以它会很容易.有关更多细节,请参阅我先前的回复,并链接到原始研究。
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Go