多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。
  首先:我们要了解SQL收到一个指令后所做的事情:
  在这里,简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
  具体可能有点不一样,但大致的步骤如上所示。
  接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢?
  首先创建一张表Users:

 

CREATE TABLE [dbo].[Users](
[Id] [uniqueidentifier] NOT NULL,
[UserId] [int] NOT NULL,
[UserName] [varchar](50) NULL,
[Password] [varchar](50) NOT NULL,
CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED
(
[Id] ASC
)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF,
IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON,
ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]
) ON [PRIMARY]
3F3ECD42B7A24B139ECA0A7D584CA195


  插入一些数据:
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
  INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');
  假设我们有个用户登录的页面,代码如下:
  验证用户登录的sql 如下:
  select COUNT(*) from Users where Password = 'a' and UserName = 'b'
  这段代码返回Password 和UserName都匹配的用户数量,如果大于1的话,那么代表用户存在。
  本文不讨论SQL 中的密码策略,也不讨论代码规范,主要是讲为什么能够防止SQL注入,请一些同学不要纠结与某些代码,或者和SQL注入无关的主题。
  可以看到执行结果:

  这个是SQL profile 跟踪的SQL 语句。

  注入的代码如下:
  select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'
  这里有人将UserName设置为了 “b' or 1=1 –”.
  实际执行的SQL变成了如下:

  可以很明显的看到SQL注入成功了。