在google中搜索“分頁存儲過程”會出來好多結果,是大家常用的分頁存儲過程,今天我卻要說它是有漏洞的,而且漏洞無法通過修改存儲過程進行補救,如果你覺得我錯了,請讀下去也許你會改變看法。
通常大家都會認為存儲過程可以避免sql注入的漏洞,這適用於一般的存儲過程,而對於通用分頁存儲過程是不適合的,請看下面的代碼和分析!
一般的通用的分頁存儲過程代碼如下:
復制代碼 代碼如下:
CREATE PROCEDURE pagination
@tblName varchar(255), -- 表名
@strGetFields varchar(1000) = '*', -- 需要返回的列
@fldName varchar(255)='', -- 排序的字段名
@PageSize int = 10, -- 頁尺寸
@PageIndex int = 1, -- 頁碼
@doCount bit = 0, -- 返回記錄總數, 非 0 值則返回
@OrderType bit = 0, -- 設置排序類型, 非 0 值則降序
@strWhere varchar(1500) = '' -- 查詢條件 (注意: 不要加 where)
AS
declare @strSQL varchar(5000) -- 主語句
declare @strTmp varchar(110) -- 臨時變量
declare @strOrder varchar(400) -- 排序類型
if @doCount != 0
begin
if @strWhere !=''
set @strSQL = 'select count(*) as Total from [' + @tblName + '] where '+@strWhere
else
set @strSQL = 'select count(*) as Total from [' + @tblName + ']'
end
--以上代碼的意思是如果@doCount傳遞過來的不是0,就執行總數統計。以下的所有代碼都是@doCount為0的情況
else
begin
if @OrderType != 0
begin
set @strTmp = '<(select min'
set @strOrder = ' order by [' + @fldName +'] desc'
--如果@OrderType不是0,就執行降序,這句很重要!
end
else
begin
set @strTmp = '>(select max'
set @strOrder = ' order by [' + @fldName +'] asc'
end
if @PageIndex = 1
begin
if @strWhere != ''
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from [' + @tblName + '] where ' + @strWhere + ' ' + @strOrder
else
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['+ @tblName + '] '+ @strOrder
--如果是第一頁就執行以上代碼,這樣會加快執行速度
end
else
begin
--以下代碼賦予了@strSQL以真正執行的SQL代碼
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['
+ @tblName + '] where [' + @fldName + ']' + @strTmp + '(['+ @fldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' ['+ @fldName + '] from [' + @tblName + ']' + @strOrder + ') as tblTmp)'+ @strOrder
if @strWhere != ''
set @strSQL = 'select top ' + str(@PageSize) +' '+@strGetFields+ ' from ['
+ @tblName + '] where [' + @fldName + ']' + @strTmp + '(['
+ @fldName + ']) from (select top ' + str((@PageIndex-1)*@PageSize) + ' ['
+ @fldName + '] from [' + @tblName + '] where ' + @strWhere + ' '
+ @strOrder + ') as tblTmp) and ' + @strWhere + ' ' + @strOrder
end
end
exec (@strSQL)
GO
大家可以看到上面的存儲過程中是通過一些步驟最終拼接成一個sql字符串,然後通過exec執行這個串得到分頁的結果。
我們假定要做一個這樣的查詢,通過用戶名UserName模糊查詢用戶,為了敘述方便,便於理解我們只考慮取第一頁的情況,取出存儲過程中取第一頁的拼串行如下:
set @strSQL = 'SELECT TOP ' + str(@PageSize) + ' ' + @strGetFields + ' from [' + @tblName + '] where ' + @strWhere + ' ' + @strOrder
為了便於說明問題,我們可以假定@pageSize為20,@strGetFields為 ‘*',@tblName為UserAccount,@strOrder為' ORDER BY ID DESC' 那麼上面一行可以寫成如下形式:
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'
我們可以假定用戶輸入的模糊用戶名是: Jim's dog
我們用SqlParameter傳遞參數給分頁存儲過程@strWhere 的值是:'UserName LIKE ‘'%Jim'' dog%'''(注意LIKE後邊的字符串中的單引號已經全部變成兩個單引號了),我們將這個值代入上面的@strSQL賦值語句中,如下:
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where UserName LIKE ''%Jim'' dog%'' ORDER BY ID DESC'
讓我們寫上聲明變量的部分執行在查詢分析器中測試一下,代碼如下:
復制代碼 代碼如下:
DECLARE @strSQL varchar(8000)
DECLARE @strWhere varchar(1000)
SET @strWhere = 'UserName LIKE ''%Jim'' dog%'''
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'
print @strSQL
exec (@strSQL)
大家可以把上面幾行代碼粘貼到查詢分析器中執行一下,就可以看到下面的畫面:
在消息的第一行,打印出了要執行的sql語句,很顯然此語句的 LIKE ‘%Jim' 後面的部分全部被截斷了,也就是說如果用戶輸入的不是Jim's dog而是Jim' delete from UserAccount那麼會正確的執行刪除操作,傳說中的sql注入就會出現了。
問題出現了,我們應該怎麼解決問題?
1. 很顯然我們使用SqlParameter傳遞參數已經將單引號替換成了連個單引號了,可是因為我們在數據庫中拼串導致替換並不能解決問題。
2. 根據我的實驗證明如果使用存儲過程不可能解決這個問題,我們只有將這個存儲過程要執行的拼串操作放到數據訪問層去做,才可以避免這個問題。
如果大家有在存儲過程中解決這個問題的辦法,請不吝賜教。
備注:本文說的是MS SQL Server2000 的數據庫,而非使用SQL 2005的新特性分頁。
