sql注入风险，你有吗？

溢+项目提测后，QA反馈的安全报告里出现了sql盲注风险和sql注入漏洞。
经分析，溢+调用支付中心，而支付中心的DAL用ADO.NET实现，在对请求数据进行持久化时，当时的工程师是这么拼的insert语句：

string GetInsertSqlStr(PayApplyDTO entity)
{
    string format = @"
INSERT dbo.T_PayApply
( systemId ,
    businessCode ,
    platform ,
    plattype ,
    paySource ,
    bankCode ,
    payMoney ,
    backAddress ,
    returnUrl ,
    .....
)
VALUES  ( {0} , -- systemId - int
    {1} , -- businessCode - int
    {2} , -- platform - int
    {3} , -- plattype - int
    '{4}' , -- paySource - varchar(50)
    '{5}' , -- bankCode - varchar(50)
    {6} , -- payMoney - decimal
    '{7}' , -- backAddress - varchar(500)
    '{8}' , -- returnUrl - varchar(500)
    .....
)";
    string insertSql = string.Format(format,
        (int)entity.BusinessSystemId, (int)entity.BusinessCode, (int)entity.ThirdPayPlatform, (int)entity.PayType,
        entity.PaySource, entity.BankCode, entity.PayMoney,
        entity.BackAddress, entity.ReturnUrl,
        ...
        );
    return insertSql;
}

很显然，当字符串参数里包含'时，而程序未对其转义，就会报SQLException。这个漏洞显然必须要补掉，要不然我们的系统太low了。

修复后的版本：

把上面的是string类型的属性做下处理，将'转义为'':

string insertSql = string.Format(format,
    (int)entity.BusinessSystemId, (int)entity.BusinessCode, (int)entity.ThirdPayPlatform, (int)entity.PayType,
    entity.PaySource, entity.BankCode.Replace("'","''"), entity.PayMoney,
    entity.BackAddress.Replace("'", "''"), entity.ReturnUrl.Replace("'", "''"),
    ...
    );
return insertSql;

上面的修复未免草率，这不，禁不起测试，运行单元测试时用例抛出了System.NullReferenceException。最后，还是改成用传递SqlParamters参数的形式来持久化吧。

public static int Add(PayApplyDTO entity)
{
    string cmdText = @"
INSERT dbo.T_PayApply
( systemId ,
    businessCode ,
    platform ,
    plattype ,
    paySource ,
    bankCode ,
    payMoney ,
    backAddress ,
    returnUrl ,
    ...
)
VALUES  ( @systemId ,
    @businessCode , 
    @platform , 
    @plattype , 
    @paySource , 
    @bankCode , 
    @payMoney , 
    @backAddress ,
    @returnUrl ,
    ... 
)";

    List<SqlParameter> paramList = new List<SqlParameter>()
{
    new SqlParameter("@systemId",entity.BusinessSystemId),//enum本身是int值，所以不需要.GetHashCode()了
    new SqlParameter("@businessCode",entity.BusinessCode),
    new SqlParameter("@platform",entity.ThirdPayPlatform),
    new SqlParameter("@plattype",entity.PayType),
    new SqlParameter("@paySource",entity.PaySource),
    new SqlParameter("@bankCode",entity.BankCode??""),
    new SqlParameter("@payMoney",entity.PayMoney),
    new SqlParameter("@backAddress", entity.BackAddress??""),
    new SqlParameter("@returnUrl",entity.ReturnUrl??""),
    ...
};
    int i = SqlHelper.ExecuteNonQuery(
        ConfigFile.PayCenterConnection,
        System.Data.CommandType.Text,
        cmdText,
        paramList.ToArray());
    return i;
}

【结语】真是不测不知道呀！上面的拼接sql还会带来很多风险：

可能会查看、修改或删除数据库条目和表；
可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息

大家一定要抛弃这种拼接sql的方式。

【附】非常专业的安全扫描报告截图：

1.png

2.png

3.png

4.png

sql盲注.png

sql注入.png

发现数据库错误模式.png

最后编辑于：2017.12.04 21:58:41

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 213,928评论 6赞 493
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 91,192评论 3赞 387
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 159,468评论 0赞 349
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 57,186评论 1赞 286
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 66,295评论 6赞 386
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 50,374评论 1赞 292
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 39,403评论 3赞 412
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 38,186评论 0赞 269
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 44,610评论 1赞 306
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 36,906评论 2赞 328
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,075评论 1赞 341
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 34,755评论 4赞 337
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 40,393评论 3赞 320
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,079评论 0赞 21
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,313评论 1赞 267
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 46,934评论 2赞 365
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 43,963评论 2赞 351

sql注入风险，你有吗？

推荐阅读更多精彩内容