Go语言SQL注入和防注入

2019/04/10 10:10
阅读数 64

Go语言SQL注入和防注入

一、SQL注入是什么

SQL注入是一种注入攻击手段,通过执行恶意SQL语句,进而将任意SQL代码插入数据库查询,从而使攻击者完全控制Web应用程序后台的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序验证,比如绕过登录验证登录Web身份验证和授权页面;也可以绕过网页,直接检索数据库的所有内容;还可以恶意修改、删除和增加数据库内容。

二、防止SQl注入的思路和方法

  • 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。
  • 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。
  • 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  • 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  • 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
  • 6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。

三、Go语言防止SQL注入的方法

我们采取了第二条思路和方法,即不用动态拼接SQL语句的方法,而是使用参数化查询,即变量绑定。

下面给出SQL注入攻击安全漏洞代码——拼接SQL语句:

//数据库
/*
 Navicat Premium Data Transfer

 Source Server         : localhost_3306
 Source Server Type    : MySQL
 Source Server Version : 50553
 Source Host           : localhost:3306
 Source Schema         : test

 Target Server Type    : MySQL
 Target Server Version : 50553
 File Encoding         : 65001

 Date: 28/02/2020 10:48:06
*/

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for userinfo
-- ----------------------------
DROP TABLE IF EXISTS `userinfo`;
CREATE TABLE `userinfo`  (
  `uid` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = MyISAM AUTO_INCREMENT = 14 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of userinfo
-- ----------------------------
INSERT INTO `userinfo` VALUES (2, 'aaa', 'hh');
INSERT INTO `userinfo` VALUES (4, 'ast', 'dddd');

SET FOREIGN_KEY_CHECKS = 1;

//test.go
package main

import (
	"database/sql"
	"fmt"
	_ "github.com/go-sql-driver/mysql"
	"html/template"
	"log"
	"net/http"
	"strings"
)
func login(w http.ResponseWriter, r *http.Request) {
	fmt.Println("method:", r.Method) //获取请求的方法
	if r.Method == "GET" {
		t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/test.html")
		t.Execute(w, nil)
	} else {
		//请求的是查询数据,那么执行查询的逻辑判断
		r.ParseForm()
		fmt.Println("username:", r.Form["username"])
		var sename = strings.Join(r.Form["username"], "")
		var partname = strings.Join(r.Form["password"], "")
		db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
		infoErr(err)
		if sename != "" && partname != "" {
			var uid int
			var username string
			var password string
			//字符串拼接查询
			err := db.QueryRow("SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'").
				Scan(&uid, &username, &password)
			infoErr(err)
			//判断返回的数据是否为空
			if err == sql.ErrNoRows {
				fmt.Fprintf(w, "无该用户数据")
			} else {
				if (sename == username) && (partname == password) {
					fmt.Println(uid)
					fmt.Println(username)
					fmt.Println(password)
					t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/success.html")
					t.Execute(w, nil)
				}
			}
		} else if sename == "" || partname == "" {
			fmt.Fprintf(w, "错误,输入不能为空!")
		}

	}

}


func infoErr(err error) {
	if err != nil {
		panic(err)
	}
}

func main() {
	http.HandleFunc("/login",login)     //设置访问的路由 	//设置访问的路由
	err := http.ListenAndServe(":9092", nil) //设置监听的端口
	if err != nil {
		log.Fatal("ListenAndServe: ", err)
	}
}
//login.html
<html>
<head>
    <meta charset="utf-8" />
    <title>sql防注入</title>
    <style>
        form{
            width: 30vw;
            height: 30vh;
            min-height: 300px;
            margin: 10vh auto;
            border: 1px solid;
            border-radius: 4px;
        }
        form .username,.password{
           display: block;
            float: right;
        }
        div {
            width: 300px;
            height: 80px;
            margin: 30px auto 0;
        }
        input label {
            float: left;
            display: inline-block;
        }
        input {
            height: 30px;
        }
        .button {
            width: 100px;
            margin: auto;
            clear: both;
            display: block;
        }
    </style>
</head>
<body>
<form action="/login" method="post">
    <div>
        <label>username: </label>
        <input class="username" type="text" name="username">
    </div>
    <div>
        <label>password:</label>
        <input class="password" type="text" name="password">
    </div>
    <input class="button" type="submit" value="查询">
</form>
</body>
</html>

解决防SQL注入方案——参数化查询:

//test.go
package main

import (
	"database/sql"
	"fmt"
	_ "github.com/go-sql-driver/mysql"
	"html/template"
	"log"
	"net/http"
	"strings"
)

func login(w http.ResponseWriter, r *http.Request) {
	fmt.Println("method:", r.Method) //获取请求的方法
	if r.Method == "GET" {
		t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/login.html")
		t.Execute(w, nil)
	} else {
		//请求的是查询数据,那么执行查询的逻辑判断
		r.ParseForm()
		fmt.Println("username:", r.Form["username"])
		var sename = strings.Join(r.Form["username"], "")
		var partname = strings.Join(r.Form["password"], "")
		db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
		checkErr(err)
		if sename != "" && partname != "" {
			var uid int
			var username string
			var password string
            //参数查询在一定程度上防止sql注入,参数化查询主要做了两件事:
			//1.参数过滤;2.执行计划重用
			//因为执行计划被重用,所以可以防止SQL注入。
			err := db.QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
				Scan(&uid, &username, &password)
			//判断返回的数据是否为空
			if err == sql.ErrNoRows {
				fmt.Fprintf(w, "无该用户数据")
			} else {
				if (sename == username) && (partname == password) {
					fmt.Println(uid)
					fmt.Println(username)
					fmt.Println(password)
					t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSQL/success.html")
					t.Execute(w, nil)
				}
			}
		} else if sename == "" || partname == "" {
			fmt.Fprintf(w, "错误,输入不能为空!")
		}

	}

}

func checkErr(err error) {
	if err != nil {
		panic(err)
	}
}

func main() {
	http.HandleFunc("/login", login)     //设置访问的路由
	err := http.ListenAndServe(":9090", nil) //设置监听的端口
	if err != nil {
		log.Fatal("ListenAndServe: ", err)
	}
}

四、SQL注入判断

执行登录查询的数据库语句:"SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'"

当查询到数据表中存在同时满足 username 和 password 字段时,会返回用户信息。 尝试在用户名中输入 123' or 1=1 #, 密码同样输入 123' or 1=1 # ,实际执行的SQL语句是select * from users where username='123' or '1'='1' and password='123' or '1'='1

则会出现一个空白页面,其实此时SQl注入已经绕过验证进入到需要身份验证的页面。

而如果执行"SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname

再次输入123' or 1=1 #,则会被拦截下来,显示无该用户数据

五、为什么参数化查询会防止SQL注入

我们需要知道参数化查询都做了些什么事:

1.参数过滤

2.执行计划重用

它的原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,而QueryRow()方法会对传入参数进行强制类性检查和安全检查,所以就避免了SQL注入的产生。

QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
				Scan(&uid, &username, &password)

原文出处:https://www.cnblogs.com/ktddcn/p/12376268.html

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部