mysql - 在旧的经典 ASP 站点中清理 mysql 的好方法是什么？

Question

我是一家电子制造商的非常古老、非常庞大且编写​​非常糟糕的经典 ASP 网站的维护者(但谢天谢地不是创建者)。

安全是个笑话。这是在将输入扔进 MySQL 之前对输入进行清理的唯一方法:

Function txtval(data)
    txtval = replace(data,"'","'")
    txtval = trim(txtval)
End Function

productid = txtval(Request.QueryString("id"))
SQL = "SELECT * FROM products WHERE id = " & productid
Set rs = conn.execute(SQL)

正因为如此，该站点不幸(但也许并不奇怪)成为 SQL 注入(inject)攻击的受害者，其中一些攻击是成功的。

上述简单的方法还远远不够。也不使用 Server.HTMLEncode。转义斜杠也无济于事，因为攻击非常复杂:

product.asp?id=999999.9+UnIoN+AlL+SeLeCt+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39

上面的 url(从访问日志中获取的任意尝试)给出了来自站点的以下响应:

Microsoft OLE DB Provider for ODBC Drivers error '80004005'[MySQL][ODBC 5.3(w) Driver][mysqld-5.1.42-community]The used SELECT statements have a different number of columns/product.asp, line 14

这意味着注入(inject)成功了，但在这种情况下没有成功获取任何数据。然而，其他人会这样做。

该站点由数百个 ASP 文件组成，这些文件带有意大利面条式代码，总计数千行，结构不多。因此，它不是进行参数化查询的选项。这项工作将是巨大的，而且容易出错。

不过，一件好事是代码中的所有输入参数始终通过 txtval 函数传递，因此现在有机会通过扩充该函数来做得更好。此外，由于所有 SQL 调用都是使用 conn.execute(SQL) 完成的，因此可以非常简单地搜索和替换为例如。 conn.execute(sanitize(SQL)) 所以现在也有机会对此做点什么。

在这种情况下，我有哪些选择可以防止或至少最小化 SQL 注入(inject)的风险？

非常感谢任何输入。

更新:

1.我明白参数化查询是处理问题的正确方法。我在创建网站时自己使用它。但考虑到站点的搭建方式和规模，修改、测试和调试需要1-2个月的时间。即使那是我们最终的结果(我对此表示怀疑)，我现在也需要做点什么。

2。用 html 实体替换不是拼写错误。它用它的 html 实体替换单引号。 (我没有编写代码!)

3。在上面的具体示例中，使用 CInt(id) 可以解决问题，但它可以是任何东西，而不仅仅是数字输入。

更新 2:

好的，我知道我要求的不是正确的解决方案。我从一开始就知道。这就是我写“鉴于情况”的原因。

但是，过滤 mysql 关键字(如 select、union 等)的输入至少会使其变得更好。不好，但好一点。这就是我所要求的，让它变得更好的想法。

虽然我很感谢您的评论，但告诉我唯一好的选择是使用参数化查询并没有多大帮助。 因为我已经知道了:)

Answer 1

我不会放弃参数化查询。它们是您可以用来保护自己免受 SQL 注入(inject)攻击的最佳工具。如果您的计划是替换所有这些调用:

conn.execute(SQL)

这些电话:

conn.execute(sanitize(SQL))

那么您已经在考虑修改与 SQL 的每个交互(顺便说一句，不要忘记 Command.Execute() 和 Recordset.Open()，这可能也可用于运行 SQL 语句)。由于您已经计划更改这些调用，请考虑调用自定义函数来运行语句。例如，替换:

set rs = conn.execute(SQL)

与:

set rs = MyExecute(SQL)

然后使用您的自定义函数使用 Command 对象设置适当的参数化查询。您需要巧妙地解析此自定义函数中的 SQL 语句。识别 where 子句中的值，确定它们的类型(也许您可以查询表架构)，并相应地添加参数。但这是可以做到的。

您也可以借此机会清理输入。例如，使用 RegExp 对象快速去除数字字段中的 [^0-9\.]。

但是您仍然有机会从此函数返回一个记录集，该记录集将用于直接将值写入页面，而无需先进行 HTML 编码。这是一个真正的问题，尤其是因为听起来您的网站过去已经成为攻击目标。我不相信来自您的数据库的任何数据。我在这里看到的唯一选择(不涉及触摸每一页)是返回一个“干净”的 HTML 编码记录集，而不是默认记录集。

不幸的是，您还没有走出困境。 XSS 攻击可以通过 QueryString 参数、cookie 和表单控件来完成。知道 XSS 仍然是一个非常现实的可能性，在“修复”SQL 注入(inject)问题后，您感觉有多安全？

我的建议？向您的主管解释困扰您网站的安全威胁，并说服他/她需要彻底审查或完全重写。投入一个“旧的、已经运行的网站”似乎需要大量资源，但一旦有人破坏您的网站或截断您的数据库表，您会希望自己投入时间。