如何防止“DROP BOBBY TABLES”当用户输入带有特殊字符的密码时？

Question

在我们古老的经典 ASP 环境中，我们利用 OWASP 从请求对象获取密码并对非字母数字字符进行加密。这是防止sql注入的第一道防线。我们使用其他方法来全面预防 SQL 注入。

问题是，当我们收集数据以组合 HTTP post 消息并从用户输入中获取密码时，对其进行 OWASP 并将其发送。因此密码不正确。

示例：密码 freddie$cougar 变为 freddie&36;cougar

我们最终所做的是假设 50 个字符的文本字段没有足够的空间来执行大量 SQL 注入，并更改了代码，因此我们没有 OWASP 传入的密码。感觉有点害怕。

他们有更好的方法吗？

代码是用 vbScript 编写的。

Answer 1

更好的解决方案是将所有查询转换为参数化查询。

这是 12 岁文章解释了如何操作:)

Answer 2

为什么要以明文形式发送密码？计算密码的哈希值并发送该值。这将使您能够防止 SQL 注入并避免中间人类型的攻击。

无论如何，您还必须在数据到达服务器时清理数据。即使您的 vbscripts 执行客户端验证，通过绕过您的脚本并手工制作包含恶意输入的数据包来攻击您的服务也是微不足道的。

Answer 3

考虑将 SQL 语句移至存储过程，并确保不在这些存储过程中使用动态 SQL。

Dim userPwd = Trim(Request.QueryString("userPwd"))
'--- Create and append parameter for Password
Set pwdParameter = cmd.CreateParameter("@UserPassword", ad_nVarChar, adParamInput, 50, userPwd)
cmd.Parameters.Append pwdParameter

除此之外，最好不要将密码存储在数据库中，而是存储加盐哈希值。

无论您发送到数据库的字符串是什么，上面的方法都是首选，因为只要您不使用带有动态 SQL 的参数，它就会避免直接作为即席语句执行，并且会避免 SQL 注入存储过程。

Answer 4

许多网站都限制密码中可以使用的字符集 - 选择一组不会给您带来麻烦的字符集。这可能意味着字母数字和一些标点符号（逗号、句号、破折号）。话虽如此，这些网站还是让我很恼火——只要有机会，我就会在密码中使用丰富的字符，而在仅包含字母数字的网站上，我通常最终会使用“IHateNoPunctSites”等无意义的内容作为密码。

将密码作为十六进制编码字符串或 Base-64 编码字符串发送怎么样？然后，您可以在末尾对字符串进行解码，并尽可能小心地防止任何注入，而不限制密码中使用的字符集。当您需要检查密码时，您可以确保使用参数化查询干净地完成此操作。或者，您可以在将查询发送到密码文件之前使用其盐对密码进行哈希处理。无论如何，您不应该对密码做太多事情。