我是一家电子制造商的非常古老、非常庞大且编写非常糟糕的经典 ASP 网站的维护者(但谢天谢地不是创建者)。
安全是个笑话。这是在将输入扔进 MySQL 之前对输入进行清理的唯一方法:
Function txtval(data)
txtval = replace(data,"'","'")
txtval = trim(txtval)
End Function
productid = txtval(Request.QueryString("id"))
SQL = "SELECT * FROM products WHERE id = " & productid
Set rs = conn.execute(SQL)
正因为如此,该站点不幸(但也许并不奇怪)成为 SQL 注入(inject)攻击的受害者,其中一些攻击是成功的。
上述简单的方法还远远不够。也不使用 Server.HTMLEncode
。转义斜杠也无济于事,因为攻击非常复杂:
product.asp?id=999999.9+UnIoN+AlL+SeLeCt+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39
上面的 url(从访问日志中获取的任意尝试)给出了来自站点的以下响应:
Microsoft OLE DB Provider for ODBC Drivers error '80004005' [MySQL][ODBC 5.3(w) Driver][mysqld-5.1.42-community] The used SELECT statements have a different number of columns /product.asp, line 14
这意味着注入(inject)成功了,但在这种情况下没有成功获取任何数据。然而,其他人会这样做。
该站点由数百个 ASP 文件组成,这些文件带有意大利面条式代码,总计数千行,结构不多。因此,它不是进行参数化查询的选项。这项工作将是巨大的,而且容易出错。
不过,一件好事是代码中的所有输入参数始终通过 txtval
函数传递,因此现在有机会通过扩充该函数来做得更好。此外,由于所有 SQL 调用都是使用 conn.execute(SQL)
完成的,因此可以非常简单地搜索和替换为例如。 conn.execute(sanitize(SQL))
所以现在也有机会对此做点什么。
在这种情况下,我有哪些选择可以防止或至少最小化 SQL 注入(inject)的风险?
非常感谢任何输入。
更新:
1. 我明白参数化查询是处理问题的正确方法。我在创建网站时自己使用它。但考虑到站点的搭建方式和规模,修改、测试和调试需要1-2个月的时间。即使那是我们最终的结果(我对此表示怀疑),我现在也需要做点什么。
2。 用 html 实体替换不是拼写错误。它用它的 html 实体替换单引号。 (我没有编写代码!)
3。 在上面的具体示例中,使用 CInt(id) 可以解决问题,但它可以是任何东西,而不仅仅是数字输入。
更新 2:
好的,我知道我要求的不是正确的解决方案。我从一开始就知道。这就是我写“鉴于情况”的原因。
但是,过滤 mysql 关键字(如 select
、union
等)的输入至少会使其变得更好。不好,但好一点。这就是我所要求的,让它变得更好的想法。
虽然我很感谢您的评论,但告诉我唯一好的选择是使用参数化查询并没有多大帮助。 因为我已经知道了:)
最佳答案
我不会放弃参数化查询。它们是您可以用来保护自己免受 SQL 注入(inject)攻击的最佳工具。如果您的计划是替换所有这些调用:
conn.execute(SQL)
这些电话:
conn.execute(sanitize(SQL))
那么您已经在考虑修改与 SQL 的每个交互(顺便说一句,不要忘记 Command.Execute()
和 Recordset.Open()
,这可能也可用于运行 SQL 语句)。由于您已经计划更改这些调用,请考虑调用自定义函数来运行语句。例如,替换:
set rs = conn.execute(SQL)
与:
set rs = MyExecute(SQL)
然后使用您的自定义函数使用 Command
对象设置适当的参数化查询。您需要巧妙地解析此自定义函数中的 SQL 语句。识别 where
子句中的值,确定它们的类型(也许您可以查询表架构),并相应地添加参数。但这是可以做到的。
您也可以借此机会清理输入。例如,使用 RegExp
对象快速去除数字字段中的 [^0-9\.]
。
但是您仍然有机会从此函数返回一个记录集,该记录集将用于直接将值写入页面,而无需先进行 HTML 编码。这是一个真正的问题,尤其是因为听起来您的网站过去已经成为攻击目标。我不相信来自您的数据库的任何数据。我在这里看到的唯一选择(不涉及触摸每一页)是返回一个“干净”的 HTML 编码记录集,而不是默认记录集。
不幸的是,您还没有走出困境。 XSS 攻击可以通过 QueryString 参数、cookie 和表单控件来完成。知道 XSS 仍然是一个非常现实的可能性,在“修复”SQL 注入(inject)问题后,您感觉有多安全?
我的建议?向您的主管解释困扰您网站的安全威胁,并说服他/她需要彻底审查或完全重写。投入一个“旧的、已经运行的网站”似乎需要大量资源,但一旦有人破坏您的网站或截断您的数据库表,您会希望自己投入时间。
关于mysql - 在旧的经典 ASP 站点中清理 mysql 的好方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31270438/