<% @Import Namespace="EnterpriseDB.EDBClient" %>
<% @Import Namespace="System.Data" %>
<script language="C#" runat="server" >
private void Page_Load(object sender, System.EventArgs e)
{
string strConnectionString = ConfigurationSettings.AppSettings
["DB_CONN_STRING"];
EDBConnection conn = new EDBConnection(strConnectionString);
string updateQuery = "UPDATE emp SET sal = sal+500 where empno = :ID";
try {
conn.Open();
EDBCommand cmdUpdate = new EDBCommand(updateQuery,conn);
cmdUpdate.Parameters.Add
(new EDBParameter(":ID", EDBTypes.EDBDbType.Integer));
cmdUpdate.Parameters[0].Value = 7788; cmdUpdate.ExecuteNonQuery();
Response.Write("Record Updated");
}
catch(Exception exp) {
Response.Write(exp.ToString());
}
finally {
conn.Close();
}
}
</script>
通過利用SQL的更新命令,你可以更新記錄����。在上面的例子中,我們作了如下操作:創(chuàng)建并打開一個數(shù)據(jù)庫鏈接�;創(chuàng)建一個代表執(zhí)行更新語句的數(shù)據(jù)庫命令�;使用EDBCommand 的ExecuteNonQuery()方法執(zhí)行插入命令�。
每一個參數(shù)都用一個EDBParameter對象指明。對于需要在SQL語句中指定的每一個參數(shù)來說��,你需要創(chuàng)建一個EDBParameter對象����,然后將值指派給這個對象。然后�,將EDBParameter對象添加到EDBCommand命令的參數(shù)集中。
對于多數(shù)開發(fā)平臺來說�����,應(yīng)當(dāng)使用參數(shù)化的語句而不是將用戶輸入嵌入到語句中�。在許多情況下,SQL語句是固定的�,每一個參數(shù)都是一個標(biāo)量,而不是一個表���。用戶輸入會被指派給一個參數(shù)�����。下面再給出一個使用Java和JDBC API的例子:
PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();
筆者用這些例子只是想告訴開發(fā)人員��,應(yīng)當(dāng)確保在查詢數(shù)據(jù)庫之前對輸入進(jìn)行凈化��。要保障用戶輸入到網(wǎng)站的內(nèi)容就是你正要查找的數(shù)據(jù)類型��,所以說�,如果你正在尋找一個數(shù)字,就要努力保障這種輸入一定是一個數(shù)字而非字符���。
實施過濾和監(jiān)視工具
在Web應(yīng)用程序和數(shù)據(jù)庫這個水平上的過濾和監(jiān)視工具可有助于阻止攻擊并檢測攻擊行為�,從而減輕暴露在大規(guī)模的SQL注入式攻擊中的風(fēng)險�。
在應(yīng)用程序水平上,企業(yè)應(yīng)當(dāng)通過實施運(yùn)行時的安全監(jiān)視來防御SQL注入攻擊和生產(chǎn)系統(tǒng)中的漏洞�����。同樣地����,Web應(yīng)用防火墻也有助于企業(yè)部署某些基于行為的規(guī)則集��,可以在發(fā)生損害之前阻止攻擊�����。
在數(shù)據(jù)庫水平上,數(shù)據(jù)庫活動監(jiān)視還可以從后臺過濾攻擊����。數(shù)據(jù)庫的監(jiān)視活動是對付SQL注入的一種很強(qiáng)大的工具。對于目前所知道的注入攻擊而言��,應(yīng)當(dāng)部署好過濾器�����,以便向數(shù)據(jù)庫管理員發(fā)出警告:正在發(fā)生不太安全的問題����;還要有一些一般的過濾器,用以查找SQL注入攻擊中的典型伎倆����,如破壞SQL代碼的不規(guī)則的數(shù)字引用等。
精心編制錯誤消息
黑客可以利用你的錯誤消息���,以便于將來對付你����。所以開發(fā)團(tuán)隊和數(shù)據(jù)庫管理員都需要考慮:在用戶輸入某些出乎意料的“數(shù)據(jù)”時,應(yīng)當(dāng)返回的錯誤消息����。
企業(yè)應(yīng)當(dāng)配置Web服務(wù)器和數(shù)據(jù)庫服務(wù)器,使其不輸出錯誤或警告消息��。因為攻擊者可以利用“盲目SQL注入”等技術(shù)來了解你的數(shù)據(jù)庫設(shè)計細(xì)節(jié)����。
及時打補(bǔ)丁并強(qiáng)化數(shù)據(jù)
由于沒有打補(bǔ)丁或者配置錯誤,而造成與Web應(yīng)用程序相關(guān)聯(lián)的數(shù)據(jù)庫遭受攻擊���,那么與SQL注入攻擊相關(guān)的風(fēng)險也會因之增加��。
很顯然���,只要有補(bǔ)丁可用,你就需要給數(shù)據(jù)庫打補(bǔ)丁��,并且還要給Web應(yīng)用程序和Web服務(wù)打補(bǔ)丁�����。
此外����,別忘了你的數(shù)據(jù)庫是怎樣配置的�����。你需要禁用不必要的服務(wù)和功能�����,目的是為了強(qiáng)化數(shù)據(jù)庫及其賴以運(yùn)行的操作系統(tǒng)���。
限制數(shù)據(jù)庫的特權(quán)
最后��,企業(yè)需要更好地管理與Web應(yīng)用程序相關(guān)的賬戶與后臺數(shù)據(jù)庫交互的方式��。許多問題之所以發(fā)生��,其原因在于數(shù)據(jù)庫管理員全面開放了一些賬戶���,其目的是為了讓開發(fā)人員更輕松地工作。但是���,這些超級用戶賬戶極易遭受攻擊���,并會極大地增加由SQL注入攻擊及其它Web攻擊給數(shù)據(jù)庫所造成的風(fēng)險�����。
一定要正確地管理所有的賬戶���,使其僅能以最低的特權(quán)訪問后臺的數(shù)據(jù)庫,當(dāng)然前提是能夠完成其工作����。你一定要保障這些賬戶不會擁有對數(shù)據(jù)庫作出更改的權(quán)利。
