18-5 嚙踝蕭嚙踝蕭嚙踝蕭X嚙?

當你學會了資料庫與 ASP 的整合，一定很高興，而且急著把所有的資料都放到資料庫，以便進行更好的資料管理。在下面這個範例中，我們將使用者的密碼存放在資料庫之中，以對使用者的帳號和密碼進行有效的管理，此資料庫的內容如下（password.mdb）：

userid	passwd
CS3431	CS3431
林政源	gavins
陳江村	jtchen
葉佳慧	beball

根據此資料庫，我們就可以寫一個 ASP 網頁來進行帳號和密碼的認證：

Example（database/password01.asp）：

其原始碼列出如下，以供讀者比較：

原始檔（database/password01.asp）：

（灰色區域按兩下即可拷貝）

<%@ language="jscript" %>
<% title="以資料庫內之資料進行密碼認證：基本篇" %>
<!--#include file="../head.inc"-->
<hr>

<% //利用ASP內建的Request物件取得表單欄位的「帳號」及「密碼」，'並判斷是否為空白。
x=Request("user")+"";
y=Request("passwd")+"";
if ((x=="undefined") && (y=="undefined")){ %>
	<% //顯示原有的表單欄位 %>
	<form method="post">
	請輸入帳號及密碼：
	<ul>
	<li>帳號：<Input name="user" value="CS3431"><br>
	<li>密碼：<Input type="password" name="passwd"><font color=white>密碼是：CS3431</font>
		<p><input type=submit><input type=reset>
	</ul>
	</form>
	（提示：按 ctrl-a 可以看到密碼喔！）
	<hr>
	<!--#include file="../foot.inc"-->
	<% Response.End();	 // 結束網頁 %>
<%}%>

<% //顯示查詢資料庫結果
//======建立ADO Connection，然後開啟Access資料庫
Conn = Server.CreateObject("ADODB.Connection");
database = "password.mdb";
Conn.ConnectionString = "DBQ=" + Server.MapPath(database) + ";Driver={Microsoft Access Driver (*.mdb)};Driverld=25;FIL=MS Access;";
Conn.Open();
//======從資料表中比較userid與passwd兩個欄位，看看是否和表單欄位user及passwd相同。
SQL = "select * from password where userid='" + Request("user") + "' and passwd='" + Request("passwd") + "'";
//======執行SQL指令，並將結果儲存於Recordset中
RS=Conn.Execute(SQL);
//======透過RecordSet集合取得欄位的內容
if (RS.EOF) {%>
	<p align=center>帳號或密碼錯誤！<br>SQL指令 = <u><font color=green><%=SQL%></font></u>
<%} else {%>
	<p align=center>帳號及密碼正確！<br>SQL指令 = <u><font color=green><%=SQL%></font></u>
<%}
//======關閉資料庫
RS.Close();
Conn.Close();
%>

<hr>
<!--#include file="../foot.inc"-->

看起來一切沒問題，但是如果你想「駭」（Hack!） 這個網站，事實上只要輸入下列資料就可以了：

• 帳號：*****（亂打一通）
• 密碼：' or 'a'='a

（請趕快試試看！）這是為什麼呢？事實上這就是惡名昭彰的「資料隱碼」（SQL Injection）臭虫，簡單地說，就是將「帳號」和「密碼」填入具有單引號的特殊字串，造成伺服器端在接合這些欄位資料時，會意外地產生合格的 SQL 指令，造成密碼認證的成功。要特別注意的是，SQL Injection 的問題不限只發生在哪種特定平台或語言，只要是使用 SQL 指令存取資料庫內的資料，都有可能產生這個問題。

我們再來仔細看看上面這個範例，其中產生 SQL 指令的敘述如下：

SQL = "select * from password where userid='" + Request("user") + "' and passwd='" + Request("passwd") + "'"; 看起來邏輯完全正確，例如當輸入帳號和密碼分別是「林政源」和「gavins」時，所得到的 SQL 指令是：

SQL = "select * from password where userid='林政源' and passwd='gavins'";

所以可以從資料庫中查到一筆資料，代表帳號和密碼正確。但是當我們帳號和密碼分別是「xyz」和「' or 'a'='a」時，所得到的 SQL 指令是

SQL = "select * from password where userid='xyz' and passwd='' or 'a'='a'";

很不幸的，所產生的 SQL 指令也會執行成功（因為 'a'='a' 是一定成立的），因而從資料庫中抓出多筆資料，這種剪接手法彷彿是在 SQL 指令中「灌注」一些惡意的字串，所以稱為「SQL Injection」。

Hint

在 SQL 語法的條件式中，會先執行 and，再執行 or。

如何避免 SQL Injection 呢？最簡單的作法，就是在取用客戶端送進來的資料前，先刪除所有可能造成問題的特殊字元，這些字元包括單引號（'）、雙引號（"）、問號（?）、星號（*）、底線（_）、百分比（%）、Ampersand（&）等，這些特殊字元都不應該出現在使用者輸入的資料中。另外，刪除特殊字元的動作務必要在伺服器端進行，因為用戶端的 JavaScript 表單驗證的檢查是只能防君子，不能防小人，別人只要做一個有相同欄位的網頁，就一樣可以呼叫你的 ASP 程式碼來取用資料庫，進而避開原網頁的表單驗證功能。

若要刪除這些危險字元，可以使用 JavaScript 的字串的 replace() 方法，或是使用 VBScript 的 Replace 函數，例如：

Example（database/sqlInjection01.asp）：

其原始碼列出如下：

原始檔（database/sqlInjection01.asp）：

（灰色區域按兩下即可拷貝）

<%@ language="jscript" %>
<% title="以資料庫內之資料進行密碼認證：如何避免 SQL Injection" %>
<!--#include file="../head.inc"-->
<hr>

<% //利用ASP內建的Request物件取得表單欄位的「帳號」及「密碼」，'並判斷是否為空白。
x=Request("user")+"";
y=Request("passwd")+"";
if ((x=="undefined") && (y=="undefined")){ %>
	<% //顯示原有的表單欄位 %>
	<form method="post">
	請輸入帳號及密碼：
	<ul>
	<li>帳號：<Input name="user" value="林政源"><br>
	<li>密碼：<Input type="password" name="passwd" value="gavins">
		<p><input type=submit><input type=reset>
	</ul>
	</form>
	（提示：按 F7 可以輸入 SQL Injection 所用之帳號和密碼！）
	<script>
	function fillForm() {
		if (event.keyCode==118) {
			document.forms[0].user.value="這是任意字串"
			document.forms[0].passwd.value="' or 'a'='a"
		}
	}
	</script>
	<script>document.onkeydown=fillForm;</script>
	<hr>
	<!--#include file="../foot.inc"-->
	<% Response.End();	 // 結束網頁 %>
<%}%>

<% //顯示查詢資料庫結果
//=======取得表單欄位內容
user = Request("user")+"";
passwd = Request("passwd")+"";
user = user.replace(/'/g, "");		//刪除單引號以避免 SQL Injection
passwd = passwd.replace(/'/g, "");	//刪除單引號以避免 SQL Injection
//=======建立ADO Connection，然後開啟Access資料庫
Conn = Server.CreateObject("ADODB.Connection");
database = "password.mdb";
Conn.ConnectionString = "DBQ=" + Server.MapPath(database) + ";Driver={Microsoft Access Driver (*.mdb)};Driverld=25;FIL=MS Access;";
Conn.Open();
//=======從資料表中比較userid與passwd兩個欄位，看看是否和表單欄位user及passwd相同。
SQL = "select * from password where userid='" + user + "' and passwd='" + passwd + "'";
RS=Conn.Execute(SQL);
if (RS.EOF) {%>
	<p align=center>帳號或密碼錯誤！<br>SQL指令 = "<u><font color=green><%=SQL%></font></u>"
<%} else {%>
	<p align=center>帳號及密碼正確！<br>SQL指令 = "<u><font color=green><%=SQL%></font></u>"
<%}
//======關閉資料庫
RS.Close();
Conn.Close();
%>

<hr>
<!--#include file="../foot.inc"-->

在上述原始碼中，因為 Request("userid") 和 Request("passwd") 的資料是無法修改的，所以在取代前要先存到另一個個變數。由此範例可以知道，只要刪除使用者輸入字串中的所有單引號，就可以避免 SQL Injection 的問題。

事實上，可以形成 SQL Injection 的惡意字串還不少，但大部分是針對微軟的 SQL Server 資料庫來進行破壞。若有興趣，讀者可自行參考下列參考資料：

• 『資料隱碼』SQL Injection的源由與防範之道：http://www.microsoft.com/taiwan/sql/SQL_Injection.htm （近端備份：asp/download/『資料隱碼』SQL Injection 的因應與防範之道.mht）
• SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上)：http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm （近端備份：asp/download/SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上).mht）
• SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(下)：http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm （近端備份：asp/download/SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(下).mht）

如果你到 Google 打入「登入」，再對需要登入的網站進行 SQL Injection 的測試，就應該可以找到一些不設防的網站。請千萬不要作惡，若找到這些不設防的網站，將下列文字寄給此網站的維護者（也可將副本寄給我）：

敬啟者：

我們研習張智星老師的「JavaScript程式設計與應用」，對網路上的網頁進行 SQL Injection 的測試，發覺您的登入網頁（網址是 http://xxx.xxx.xxx）並無法對抗 SQL Injection 的入侵，只要帳號任意設定、密碼設定為「' or 'a'='a」，即可登入。

這是一封善意的信，我們僅測試是否可以登入，並未對資料進行任何修改，請查照，謝謝。

（請寫出你的全名）

謝謝您的努力，這些網站的管理者會感謝你們的善心！

---

JScript 程式設計與應用：用於伺服器端的 ASP 環境