来源：安全中国

SQL元数据注射和解决方案
Author : kj021320
Team : I.S.T.O
台上 kj021320穿着一套便服，一点都不像安全技术人员...
台下一群 黑客 骇客 红客 白客 砍客 蓝客 灰客 漂客...
还有一堆开发工程师和架构师 貌似很期待的在听课，接收kj021320的培训
kj021320 : hi,大家好...今天我要跟大家一起讨论的是SQL注射...
台下一片郁闷声响起
有位骇客郁闷道 : 哎~咋又是注射！现在都快绝种的了啊！大企业都用JAVA DOTNET参数绑定，其他的公司都过滤了单引号，数字的就进行类型转换，哪来注射啊？大哥！...
kj021320 : .... ....
kj021320 : 只要使用了变量绑定就不存在注射了吗？就不用关注这方面的了？
开发工程师 : 废话！你到底懂不懂预编译的啊？
kj021320 : .... ....
kj021320 : 大家如果有兴趣了解预编译的细节，可以去google yahoo 找找 <<窥探SQL预编译内幕>>，这是偶写的烂文大家多多提点。
听到这里，台下开始认真重视起来了！kj 稳定一下在座的情绪继续说
kj021320 : 现在的企业WEB应用随着需求越来越复杂，新的安全问题也在诞生，那么我们的安全解决方案跟上这些脚步没有呢？我接下来分析SQL注射的问题
kj021320一边在 黑板上画一边说
现在来回眸一下 过去比较土的SQL注射攻击
下面一段代码
<%
id=request("id")
title=request("title")
sql="select * from news where id=" & id &" and title=’" & title & "’"
...
%>
这样的代码一看不及格了就不多说
后来又有人把这样的SQL注射攻击分类为 字符串 和 数值 ， 然后总结出过滤转换规则
<%
id=cint(request("id"))
title=replace(request("title"),"’","’’")
sql="select * from news where id=" & id &" and title=’" & title & "’"
...
%>
再过了段时间，又有新的提倡使用参数绑定，乃至今天
以下为 JAVA 代码
PreparedStatement ps=con.prepareStatement("select * from news where id=? and title=?");
ps.setInt(1, id);
ps.setString(2, title);
ResultSet rlst=ps.executeQuery();
后来大家都很放心的认为，采用了预编译SQL 就不会再有注射出现...
其实隐患才刚刚开始...
现在WEB应用越来越复杂，讲求的是网站重构，代码重用，可能3句话的东西，现在整合为1句话！
例如以下的方式
<%
id=cint(request("id"))
title=replace(request("title"),"’","’’")
sql="select * from news where id=" & id &" and title=’" & title & "’ order by posttime"
...
sql="select * from news where id=" & id &" and title=’" & title & "’ order by updatetime"
...
sql="select * from news where id=" & id &" and title=’" & title & "’ order by viewcount"
%>
整合为
<%
id=cint(request("id"))
title=replace(request("title"),"’","’’")
orderCol=replace(request("order"),"’","’’")
sql="select * from news where id=" & id &" and title=’" & title & "’ order by "&orderCol
%>
很容易就能看到以上是存在攻击的，不多说！而在预编译SQL中可以使用类似过滤吗？
"select * from news where id=? and title=? order by ?"
kj021320 : 哈呵嘻噶！
台下有开发工程师摇摇头...
kj021320 : 那么你们是怎么写代码的啊？
开发工程师 : ps=con.prepareStatement("select * from news where id=? and title=? order by "+order);
kj021320 : 所以问题就出现了...(SQL注射，我们又见面了)，那么该如何修补呢？
开发工程师 : ..... .....
架构师 : 是不是可以将order by 的字段放到一个 list里面 ，然后每次传进来的时候，判断变量是否包含在list里面，这样就OK了啊！
kj021320 : 很好非常好，这是一个很简单的解决方案！但是如果表结构将来会变化，或者现在需要按3个字段来排序，但是以后因为业务需求，要求加入更多的排序字段呢？.....
kj021320 : 那你就负责维护那个白名单的LIST吗？或者说，不局限于这个order by 有可能在 group by 或者 count max length 这些里面需要动态更换
架构师 : ..... .....
台下有位漂客老听着这些解决方案有点郁闷，大声问道
漂客 : 这样的SQL注射可以带来什么样的攻击啊？或者可以怎么利用
kj021320 : 把字段直接换为 攻击的函数，或者一段SQL语句
kj021320 : 例如 getNews.asp?order=2;drop table admin--
骇客 : 那我知道怎么利用这样的攻击了！(阴阴的笑~) 不过现在好象没有注射工具支持这样的猜解以及攻击，包括NBSI HDSI CASI PANGOLIN .. 
kj021320 : 呵，自己动手丰衣足食，手动无敌...
开发工程师&架构师 在一边郁闷，不明白kj021320跟骇客们在说什么东西
kj021320 : 言归正传...那到底用什么样的方式更好的解决呢！在这里考考 架构师和开发工程师一个问题！
kj021320 : 如果我需要建立一个表，表名字为 KJ 021320 中间有空格，那么在MSSQL里面怎么做呢？
开发工程师 : ~~~~恩~！好象是用 [] ，用个中括号罩着，create table [KJ 021320] 这样！
kj021320 : 对！ 但是我不建议使用这样的方式，更提倡使用 " 双引号，例如 create table "KJ 021320" ，都能理解吧？
大伙都齐口回答 明白
kj021320 : 那么，现在攻击者会尝试绕过，例如 select * from news order by "id" ，攻击者有可能输入双引号怎么办呢？
开发工程师 : ................ 没想过！
架构师 : 两个转换为一个 select * from news order by """id"
kj021320 : 很好很强大... 那么现在我们来总结一下 关于这类型注射的过滤规则和防止方案
kj021320又在 黑板上画
1. 针对接收回来的参数进行替换
例如：
<%
order = """" & replace(request("order"),"""","""""") & """"
sql="select * from news order by " & order
%>
2. 针对预编译的修改
( 这里介绍JDBC 其他的ADO.NET可以参考着做 )
我们可以对 PreparedStatement Connection CallableStatement 重新封装,我提供思路
Connection con = DriverManager.getConnection(url);
SecurityConnection seccon=new SecurityConnection(con);//封装的安全连接类
SecurityStatement sstmt=seccon.prepareStatement("select * from news where id=? and title=? order by ?");//封装过的安全statement类
sstmt.setColumn(3,order);//新加入的方法 动态设置字段 其内部实现也是 采用替换
刚刚看了MSSQL是可以用双引号",MYSQL 是采用反引号`来转义的 而ORACLE是用 双引号" ， 其他的数据库可以参看对应的官方文档，所以需要对证下药，因为现在的数据库驱动包没提供解决方法需要自己实现...
kj021320 : 这个问题 完满的结束...
开发工程师 : 现在的SQL注射就只需要解决这个问题吗？
kj021320 : NO，现在的应用开始BT起来，很多东西不可取的都应用起来了...
kj021320 : 下面需要介绍另外的语法上面的SQL注射以及解决方案
架构师 : 哦？ 还有？
kj021320又在 黑板上画
因为有业务需求，需要动态使用排序的方式例如：
<%
orderByType = request("orderType")
sql="select * from news order by time "& orderByType
%>
以上即使 替换了 " 也会有问题，而且不能够加入 类似 " " 这样的标识符过滤方式
类似这样的应用例如 在 模糊查询跟 直接查询之间的切换
<%
selectType = request("seltype")
sql="select * from news where title " & selectType & " ? "
%>
这个查询类型可以为 like 可以为 = <> 等等
类似这样的传递有点BT， 为了满足开发人员的需求以及欲望
这里只能把SQL92标准 SQL3标准 以及当前数据库应有的 保留关键字 放入一个清单里面
然后逐一判断
ASP
<%
sqlkeywords = "select,union,asc,desc,in,like,into,等等"
selectType = request("seltype")
if not inkeywords(selectType) then response.end ’ inkeywords自己实现循环判断的函数
sql="select * from news where title " & selectType & " ? "
%>
JDBC
Connection con = DriverManager.getConnection(url);
SecurityConnection seccon=new SecurityConnection(con);//封装的安全连接类
SecurityStatement sstmt=seccon.prepareStatement("select * from news where id=? and title=? order by ? ?");//封装过的安全statement类
sstmt.setColumn(3,order);
sstmt.setKeyWord(4,orderType);
OK问题解决...
kj021320 : OK，很好很完美！
开发工程师在钻牛角尖
开发工程师 : 我记得ORACLE里面可以使用注释来说明SQL语句运行的方式的，那么...
kj021320 :对,具体可以参看这里 http://blog.csdn.net/I_S_T_O/archive/2008/02/15/2096228.aspx 获取更多的技术资料
kj021320自以为是的举例子说明
kj021320 : 例如在ORACLE中 SELECT /*+ PARALLEL(kj,4) */ COUNT(*) FROM kj 这样子可以让ORACLE调用4个CPU来处理这个SQL语句，那又有什么问题呢？
开发工程师 : 我想让里面的注释里面可以动态更换
开发工程师 : 例如 insert /*+ append*/ into kj select * from kj021320 不用日志形式，或者 insert /*+ PARALLEL(kj,2)/ into kj select * from kj021320 并发方式
kj021320 : ..... ..... (kj很纳闷，有点冲动把这个开发工程师拖出去打...)
kj021320 : 对于这样的方式不允许使用，因为DBA不一定同意你随便操作SQL里的性能更换，特别是数据库操作写不写日志，采用多少个CPU来运算
kj021320 : 这个应该对于开发人员是透明的，如果需要接触到这个层面，应该由DBA介入
OK现在来回顾一下今天所讲到的问题：
1. 数据库内对象的动态更变，例如一些字段名，表名，视图等，需要采用对应数据库的标识符来转义以及限制
2. 对于结构体内的动态更换，采用SQL标准的保留关键字进行约束