Go语⾔SQL注⼊和防注⼊
Go语⾔SQL注⼊和防注⼊
⼀、SQL注⼊是什么
SQL注⼊是⼀种注⼊攻击⼿段,通过执⾏恶意SQL语句,进⽽将任意SQL代码插⼊数据库查询,从⽽使攻击者完全控制Web应⽤程序后台的数据库服务器。攻击者可以使⽤SQL注⼊
漏洞绕过应⽤程序验证,⽐如绕过登录验证登录Web⾝份验证和授权页⾯;也可以绕过⽹页,直接检索数据库的所有内容;还可以恶意修改、删除和增加数据库内容。
⼆、防⽌SQl注⼊的思路和⽅法
1.永远不要信任⽤户的输⼊。对⽤户的输⼊进⾏校验,可以通过正则表达式,或限制长度;对单引号和双"-"进⾏转换等。
2.永远不要使⽤动态拼装SQL,可以使⽤参数化的SQL或者直接使⽤存储过程进⾏数据查询存取。
3.永远不要使⽤管理员权限的数据库连接,为每个应⽤使⽤单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应⽤的异常信息应该给出尽可能少的提⽰,最好使⽤⾃定义的错误信息对原始错误信息进⾏包装
6.sql注⼊的检测⽅法⼀般采取辅助软件或⽹站平台来检测,软件⼀般采⽤sql注⼊检测⼯具jsky,⽹站平台就有亿思⽹站安全平台检测⼯具。MDCSOFT SCAN等。采⽤MDCSOFT-
IPS可以有效的防御SQL注⼊,XSS攻击等。
三、Go语⾔防⽌SQL注⼊的⽅法
我们采取了第⼆条思路和⽅法,即不⽤动态拼接SQL语句的⽅法,⽽是使⽤参数化查询,即变量绑定。
下⾯给出SQL注⼊攻击安全漏洞代码——拼接SQL语句:
//数据库
/*
Navicat Premium Data Transfer
Source Server : localhost_3306
sql软件是什么软件Source Server Type : MySQL
Source Server Version : 50553
Source Host : localhost:3306
Source Schema : test
Target Server Type : MySQL
Target Server Version : 50553
File Encoding : 65001
Date: 28/02/2020 10:48:06
*/
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;
-
- ----------------------------
-- Table structure for userinfo
-- ----------------------------
DROP TABLE IF EXISTS `userinfo`;
CREATE TABLE `userinfo` (
`uid` int(10) NOT NULL AUTO_INCREMENT,
`username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
`password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
PRIMARY KEY (`uid`) USING BTREE
) ENGINE = MyISAM AUTO_INCREMENT = 14 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic;
-- ----------------------------
-- Records of userinfo
-- ----------------------------
INSERT INTO `userinfo` VALUES (2, 'aaa', 'hh');
INSERT INTO `userinfo` VALUES (4, 'ast', 'dddd');
SET FOREIGN_KEY_CHECKS = 1;
//
package main
import (
"database/sql"
"fmt"
_ "github/go-sql-driver/mysql"
"html/template"
"log"
"net/http"
"strings"
)
func login(w http.ResponseWriter, r *http.Request) {
fmt.Println("method:", r.Method) //获取请求的⽅法
if r.Method == "GET" {
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/test.html")
t.Execute(w, nil)
} else {
/
/请求的是查询数据,那么执⾏查询的逻辑判断
r.ParseForm()
fmt.Println("username:", r.Form["username"])
var sename = strings.Join(r.Form["username"], "")
var partname = strings.Join(r.Form["password"], "")
db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
infoErr(err)
if sename != "" && partname != "" {
var uid int
var username string
var password string
/
/字符串拼接查询
err := db.QueryRow("SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'"). Scan(&uid, &username, &password)
infoErr(err)
//判断返回的数据是否为空
if err == sql.ErrNoRows {
fmt.Fprintf(w, "⽆该⽤户数据")
} else {
if (sename == username) && (partname == password) {
fmt.Println(uid)
fmt.Println(username)
fmt.Println(password)
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/success.html")
t.Execute(w, nil)
}
}
} else if sename == "" || partname == "" {
fmt.Fprintf(w, "错误,输⼊不能为空!")
}
}
}
func infoErr(err error) {
if err != nil {
panic(err)
}
}
func main() {
http.HandleFunc("/login",login) //设置访问的路由 //设置访问的路由
err := http.ListenAndServe(":9092", nil) //设置监听的端⼝
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
//login.html
<html>
<head>
<meta charset="utf-8" />
<title>sql防注⼊</title>
<style>
form{
width: 30vw;
height: 30vh;
min-height: 300px;
margin: 10vh auto;
border: 1px solid;
border-radius: 4px;
}
form .username,.password{
display: block;
float: right;
}
div {
width: 300px;
height: 80px;
margin: 30px auto 0;
}
input label {
float: left;
display: inline-block;
input {
height: 30px;
}
.button {
width: 100px;
margin: auto;
clear: both;
display: block;
}
</style>
</head>
<body>
<form action="/login" method="post">
<div>
<label>username: </label>
<input class="username" type="text" name="username">
</div>
<div>
<label>password:</label>
<input class="password" type="text" name="password">
</div>
<input class="button" type="submit" value="查询">
</form>
</body>
</html>
解决防SQL注⼊⽅案——参数化查询:
//
package main
import (
"database/sql"
"fmt"
_ "github/go-sql-driver/mysql"
"html/template"
"log"
"net/http"
"strings"
)
func login(w http.ResponseWriter, r *http.Request) {
fmt.Println("method:", r.Method) //获取请求的⽅法
if r.Method == "GET" {
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/login.html")
t.Execute(w, nil)
} else {
//请求的是查询数据,那么执⾏查询的逻辑判断
r.ParseForm()
fmt.Println("username:", r.Form["username"])
var sename = strings.Join(r.Form["username"], "")
var partname = strings.Join(r.Form["password"], "")
db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
checkErr(err)
if sename != "" && partname != "" {
var uid int
var username string
var password string
//参数查询在⼀定程度上防⽌sql注⼊,参数化查询主要做了两件事:
//1.参数过滤;2.执⾏计划重⽤
//因为执⾏计划被重⽤,所以可以防⽌SQL注⼊。
err := db.QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname). Scan(&uid, &username, &password)
//判断返回的数据是否为空
if err == sql.ErrNoRows {
fmt.Fprintf(w, "⽆该⽤户数据")
} else {
if (sename == username) && (partname == password) {
fmt.Println(uid)
fmt.Println(username)
fmt.Println(password)
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSQL/success.html")
t.Execute(w, nil)
}
}
} else if sename == "" || partname == "" {
fmt.Fprintf(w, "错误,输⼊不能为空!")
}
}
func checkErr(err error) {
if err != nil {
panic(err)
}
}
func main() {
http.HandleFunc("/login", login) //设置访问的路由
err := http.ListenAndServe(":9090", nil) //设置监听的端⼝
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
四、SQL注⼊判断
执⾏登录查询的数据库语句:"SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'"
当查询到数据表中存在同时满⾜ username 和 password 字段时,会返回⽤户信息。 尝试在⽤户名中输⼊ 123' or 1=1 #, 密码同样输⼊ 123' or 1=1 # ,实际执⾏的SQL语句是select * from users where username='123' or '1'='1' and password='123' or '1'='1
则会出现⼀个空⽩页⾯,其实此时SQl注⼊已经绕过验证进⼊到需要⾝份验证的页⾯。
⽽如果执⾏"SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname
再次输⼊123' or 1=1 #,则会被拦截下来,显⽰⽆该⽤户数据。
五、为什么参数化查询会防⽌SQL注⼊
我们需要知道参数化查询都做了些什么事:
1.参数过滤;
2.执⾏计划重⽤
它的原理是采⽤了预编译的⽅法,先将SQL语句中可被客户端控制的参数集进⾏编译,⽣成对应的临时变量集,再使⽤对应的设置⽅法,为临时变量集⾥⾯的元素进⾏赋值,⽽QueryRow()⽅法会对传⼊参数进⾏强制类性检查和安全检查,所以就避免了SQL注⼊的产⽣。
QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
Scan(&uid, &username, &password)
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论