Access爱好者--
所属分类: 系统安全 作者: 共享 更新日期:2003-11-13 10:55:26 阅读次数:220

不当编写SQL语句导致系统不安全


在一般的多用户应用系统中,只有拥有正确的用户名和密码的用户才能进入该系统。我们通常需要编写用户登录窗口来控制用户使用该系统,这里以Visual Basic+ADO为例:

  一、漏洞的产生

  用于登录的表

  Users(name,pwd)

  建立一个窗体Frmlogin,其上有两个文本框Text1,Text2和两个命令按钮cmdok,cmdexit。两个文本框分别用于让用户输入用户名和密码,两个命令按钮用于“登录”和“退出”。

  1、定义Ado Connection对象和ADO RecordSet对象:

  Option Explicit

  Dim Adocon As ADODB.Connection

  Dim Adors As ADODB.Recordset

  2、在Form_Load中进行数据库连接:

  Set Adocon = New ADODB.Connection

  Adocon.CursorLocation = adUseClient

  adocon.Open "Provider=Microsoft.jet.OLeDB.4.0.1;Data Source=" && _

  App.Path && " est.mdb;"

  cmdok中的代码

  Dim sqlstr As String

  sqlstr = "select * from usersswheresname='" && Text1.Text && _

  "' and pwd='" && Text2.Text && "'"

  Set adors = New ADODB.Recordset

  Set Adors=Adocon.Execute(sqlstr)

  If Adors.Recordcount>0 Then //或If Not Adors.EOF then

  ....

  MsgBox "Pass" //通过验证

  Else

  ...

  MsgBox "Fail" //未通过验证

  End if

  运行该程序,看起来这样做没有什么问题,但是当在Text1中输入任意字符串(如123),在Text2中输入a' or 'a'='a时,我们来看sqlstr此时的值:

  select * from usersswheresname='123' and pwd='a' or 'a'='a'

  执行这样一个SQL语句,由于or之后的'a'='a'为真值,只要users表中有记录,则它的返回的eof值一定为False,这样就轻易地绕过了系统对于用户和密码的验证。

  这样的问题将会出现在所有使用select * from usersswheresname='" && name && "' and pwd='" && password &&"'的各种系统中,无论你是使用那种编程语言。

  二、漏洞的特点

  在网络上,以上问题尤其明显,笔者在许多网站中都发现能使用这种方式进入需要进行用户名和密码验证的系统。这样的一个SQL漏洞具有如下的特点:

  1、与编程语言或技术无关

  无论是使用VB、Delphi还是ASP、JSP。

  2、隐蔽性

  现有的系统中有相当一部分存在着这个漏洞,而且不易觉察。

  3、危害性

  不需要进行用户名或密码的猜测即可轻易进入系统。

  三、解决漏洞的方法

  1、控制密码中不能出现空格。

  2、对密码采用加密方式。

  这里要提及一点,加密不能采用过于简单的算法,因为过于简单的算法会让人能够构造出形如a' or 'a'='a的密文,从而进入系统。

  3、将用户验证和密码验证分开来做,先进行用户验证,如果用户存在,再进行密码验证,这样一来也能解决问题。


--------------------------------------------------------------------------------
相关文章

如何能通过窗体访问表,但不能直接读取表? 2004-8-27 21:58:17
数据库设计中的敏捷方法 2004-2-9 11:19:16
调用outlook生成并发送邮件的代码 2004-1-30 10:32:07
什么是 API? 2004-1-28 15:01:53
SQL SERVER基本概念学习印象 2004-1-1 21:23:13
一组SQL Server身份验证管理子程序 2003-12-31 16:29:54
ERwin--简化的数据库设计工具 2003-12-15 12:41:40
了解 Microsoft Access 安全性 2003-11-13 11:21:08
保护Access 2000数据库的安全 2003-11-13 11:16:12
防止Access 2000密码被破译的方法 2003-11-13 11:14:21
Access 2000数据库的密码忘了怎么办 2003-11-13 11:05:39
ACCESS的数据库安全问题解答 2003-11-13 10:52:11
存储过程入门 2003-10-17 19:06:48
MS Jet SQL for Access 2000中级篇 (I) 2003-10-17 18:47:38
将 Microsoft Access 用作 Automation 服务器 2003-10-14 8:37:19
ACCESS数据访问页配置实例 2003-10-14 8:36:00
如何诊断/修复损坏的 Jet 4.0 数据库 2003-10-14 8:31:26
数据库设计范式 2003-10-10 10:40:52
用 Access 2000 打开 Access 97 数据库时出现“密码无效”错误 2003-10-6 16:13:52


系统优化
控件使用
数据库设计
数据库连接
系统安全
OLE自动化
常见问题
实用代码
属性详解
网络相关
实用API
经验分享
精选教程
字符处理
ADP相关



文章搜索



制作维护:李寻欢     Mail:[email protected]

关于本站 -- 网站服务 -- 版权条款 -- 联系方法 -- 网站帮助
Access爱好者版权所有 Copyright 2003-2005 All Rights Reserved 未经许可不得盗链