asp防sql注入攻击技巧实例详解

引言

在ASP项目中，如果SQL查询直接使用了字符串拼接，那么整个应用就向SQL注入攻击敞开了大门。这可不是危言耸听，而是无数安全事件反复验证过的现实。好在，我们手头有两件相当趁手的“武器”来加固防线：敏感词过滤与参数化语句。接下来，我们就来深入聊聊这两种方法的实战应用。

敏感词过滤

Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,Kill_IP,WriteSql
'自定义需要过滤的字串,用 "|" 分隔
Fy_In = "'|;|and|(|)|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|exist|drop"
Kill_IP=True
WriteSql=True           '----------------------------------
Fy_Inf = split(Fy_In,"|")
'--------POST部份------------------
If Request.Form<>"" Then
    For Each Fy_Post In Request.Form
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.Form(Fy_Post)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Redirect "/index.asp"
            Response.End
            End If
        Next
    Next
End If
If Request.QueryString<>"" Then
    For Each Fy_Get In Request.QueryString
        For Fy_Xh=0 To Ubound(Fy_Inf)
            If Instr(LCase(Request.QueryString(Fy_Get)),Fy_Inf(Fy_Xh))<>0 Then
            Response.Redirect "/index.asp"
            Response.End
            End If
        Next
    Next
End If

这段代码的核心思路很直接：在用户提交的数据（无论是POST表单还是GET参数）流入系统之初，就进行一次“安检”。它会遍历一个预定义的敏感词清单（比如“select”、“exec”、“drop”等常见的SQL关键字和特殊字符），一旦发现匹配项，立刻将请求重定向到首页或其他安全页面，从而将恶意代码拦截在数据库之外。这种方法好比一道基础的防火墙，能有效过滤掉大量初级、通用的攻击脚本。

参数化

Public Function execSqlOpen(connect,cursorType,lockType,args())
      set cmdTemp = server.CreateObject("ADODB.Command")
          cmdTemp.ActiveConnection = connect
          cmdTemp.Prepared = true
          cmdTemp.CommandText = args(0)
    Dim i
          For i = 1 To UBound(args)
             set paramTemp = cmdTemp.CreateParameter("",201,1,Len(args(i))+10,args(i))
        cmdTemp.Parameters.Append paramTemp
        Next
             set rsTemp=server.CreateObject("adodb.recordset")
          rsTemp.open cmdTemp,,cursorType,lockType
          set execSqlOpen = rsTemp
end function
Public Function execSqlExecute(connect,args())
      set cmdTemp = server.CreateObject("ADODB.Command")
          cmdTemp.ActiveConnection = connect
          cmdTemp.Prepared = true
          cmdTemp.CommandText = args(0)
    Dim i
        For i = 1 To UBound(args)
             set paramTemp = cmdTemp.CreateParameter("",201,1,Len(args(i))+10,args(i))
        cmdTemp.Parameters.Append paramTemp
        Next
             set execSqlExecute = cmdTemp.execute
end function

如果说敏感词过滤是“黑名单”机制，那么参数化查询就是更本质、更安全的“白名单”方案。它的原理是将SQL语句结构与用户输入的数据分离开来。上面这两个封装好的函数就是为此服务的。使用时，你需要将原来的SQL字符串拼接逻辑，改造为使用参数数组的形式。

具体实施时，有几个关键点需要牢记：

• 1. 原代码使用Recordset.Open的地方，改用execSqlOpen函数（注意，如果原代码有调用close，需保留）；原代码使用Connection.Execute或Command.Execute的地方，改用execSqlExecute函数（此处无需close）。
• 2. 需要返回记录集（Recordset）的，用set语句接收返回值；仅仅执行操作的（如Update、Insert），用call调用即可。
• 3. 有一种特殊情况：表名本身需要动态拼接。由于参数化占位符不能用于表名、列名等数据库对象，这部分仍需保留原始的字符串拼接方式。
• 4. 对于使用LIKE进行模糊查询的情况，技巧是在SQL语句内部使用“?”占位，然后在外部将通配符“%”与关键词拼接好，再将整个字符串作为参数传入。

听起来有点抽象？看下面的例子就一目了然了：

open普通查询

sql="select * from table where column='"&column&"'"
set rs=server.CreateObject("ADODB.recordset")
rs.Open sql,conn,1,1
=>
dim args
args = Array("select * from table where column = ?",column)
set rs = execSqlOpen(conn,1,1,args)

动态参数查询

sql="select * from table where 1=1 and column1='"&request("column1")&"'"
if column2<>"" then
sql=sql&" and column2 like '%"&column2&"%'"
end if
if column3<>"" then
sql=sql&" and column3 ="&column3&""
end if
sql=sql&" order by column4 desc;"
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,1
=>
dim args
args = Array("select * from table where 1=1 and column1=?",request("column1"))
if column2<>"" then
args(0)=args(0)&" and column2 like ?"
ReDim Preserve args(UBound(args)+1)
args(UBound(args)) = "%"&column2&"%"
end if
if column3<>"" then
args(0)=args(0)&" and column3 =?"
ReDim Preserve args(UBound(args)+1)
args(UBound(args)) = column3
end if
args(0)=args(0)&" order by column4 desc;"
set rs = execSqlOpen(conn,1,1,args)

table动态

Set Rs_t=Conn.Execute("Select column From "&table&" where column1="&column1)
=>
dim args
args = Array("Select column From "&table&" where column1=?",column1)
set Rs_t = execSqlExecute(conn,args)

请注意这个例子：表名（table变量）是动态拼接的，保留了原始字符串方式；而查询条件（column1）则使用了参数“?”占位，这是标准做法。

执行查询

set rs=conn.execute("select * from table where column="&request("column"))
=>
dim args
args = Array("select * from table where column = ?",request("column"))
set rs = execSqlExecute(conn,args)

执行更新

conn.execute("update table set column = '"&column&"'")
=>
dim args
args = Array("update table set column = ?",column)
call execSqlExecute(conn,args)

总的来说，敏感词过滤提供了第一层快速防御，而参数化查询则是从根源上杜绝SQL注入的“银弹”。对于遗留的ASP项目进行安全加固，将这两种方法结合使用，能显著提升应用程序的安全性。希望以上的实例详解，能为你提供清晰、可操作的改造路径。