漏洞名称： SQL Injection之解决建议措施及相关资讯汇整
漏洞说明： SQL Injection是一种未做好输入查验(Input Validation)的问题，即在撰写应用程式时，没有对使用者的输入做妥善的过滤与处理，便将其组合成SQL指令，传送给SQL server执行。因而若使用者输入之资料中含有某些对资料库系统有特殊意义的符号或命令时，便可能让使用者有机会对资料库系统下达指令，而造成入侵所带来的损失。事实上，这样的疏漏并不是资料库系统的错误，而是程式设计师或软体开发者的疏忽所产生的。
影响平台： 使用网站系统：Apache、IIS、Domino、Netscape

使用 程式码： ASP、PHP、JSP

攻击破坏SQL资料库 ：包括 MS-SQL、MySQL、Oracle、Sybase、DB2 等等

影响状况： ． SQL Injection可能造成的危害：
透过SQL Injection操作资料库，可以新增、更动或删除资料库的资料，造成资料遗漏或是不正确；如果操作资料库的使用者权限为系统管理者，那么还有可能造成其他更严重的破坏，例如夺取资料库的控制权。

．SQL Injection的影响范围：
只要有使用或连结资料库的软体、网路服务都有可能面临SQL Injection的威胁。乍听之下影响范围似乎很大，但是大多数的商用软体并不会有这样的问题；比较严重的可能是网路服务部分，由于网站程式开发者的素质良莠不齐，或是对于资料库的指令操作与系统管理不熟悉，所以只要有提供表单(Form)输入介面的网站，都有可能面临威胁。


解决方案： ．解决之道与预防方法：

1. 对于字串的输入加以过滤，并限制长度。例如 ' 或 " 这种单、双引号都应该过滤掉，这样可以避免输入者利用 ' 或 " 这种单、双引号截断原本的SQL指令再插入自己的指令。过滤的方法依开发语言的不同而有不同的方法，以VB Script/ASP为例，过滤单引号的简单方法为： SafeString = Replace(InputString, “'”, “''”)
2. 若输入为数值资料则须确定其只输入0~9之数字，若包含其他英文字母或符号则一律拒绝接受。

3. 对于前两项的检查必须写在server端的程式上，如PHP、ASP及其他各种CGI程式，而不能将其写于Java script或VB script等会于client端执行的程式上，因恶意使用者可将client端程式另存于本地端硬碟后，再将其修改以略过检查。并且不要在server上留有.bak或.old档，若有.inc档也不要取与主.asp相同或容易猜测之档名，因为一般网页伺服器会允许这些档案的下载。

4. 加强资料库帐号与权限管理，让网站或软体不以系统管理者的帐号连结资料库，而对每个资料库设定一组个别的帐号与强健的密码，限制这组帐号仅能对该资料库有读写权限。当面临SQL Injection的侵入时，分权管理能够限制损害的范围，减少因为疏忽造成的损失。

5. 做好正确错误处理，最理想状态是所有使用者输入皆在程式设计者预期之中；若万一出现非预期的情形也要做好例外处理，勿让使用者直接看到系统传回的错误讯息，以免恶意使用者由系统错误讯息中获取过多资讯。

6. 全面检视软体的程式码。这在一般商用软体或应用软体不太可能做到，但是可以询问软体厂商这类问题，以确保他们有进行检查；网站程式的部分，可以请开发的程式设计师做一次全面性的检查。

7. 各资料库系统安装时通常会有一些预先定义的Table，若确定这些Table并不需要使用到，最好予以删除，以免恶意使用者利用这些Table获取过多资讯。

8. 做好软体开发控管。针对每个资料栏位的Input，确实做好检查的工作，以降低开发出面临威胁的程式或软体。

参考资料： ． 相关网址：
1. SQL Injection FAQ：
http://www.sqlsecurit...-inj.asp

2. Input Validation & SQL Injection：
http://www.owasp.org/asac/in...on/sql.shtml

3. SQL Injection WhitePaper：
http://www.spidynamics.com/whitepap...QLInjection.pdf

4. GSN-CERT/CC的安全通报：
http://www.gsn-cert.nat.gov.tw/news_content.phtml?news_id=231

5.Understanding and Preventing SQL Injection Attacks
http://www.siksoft.co.za/dat...onattack.htm

6 『资料隐码』SQL Injection的源由与防范之道

. http://www.microsoft.com/taiw...njection.htm
7. SQL Injection (资料隐码)– 骇客的 SQL填空游戏(上)

http://www.microsoft.com/taiwa...ection_G1.htm

8. SQL Injection (资料隐码)– 骇客的 SQL填空游戏(下)

http://www.microsoft.com/taiwa...ection_G2.htm

．相关新闻

1.Warning！　骇客「资料隐码」攻击　8成网站难防　灾情难估 (91.04.23) 【ETToday】

2.隐码骇客／被骇网站有多少？　警方：「0」(91.04.23) 【ETToday】

3.隐码骇客／网路报税　财部：传输及资料库都经严格加密(91.04.23) 【ETToday】

4.隐码骇客／各银行防骇客　电脑系统18般武艺备战 (91.04.23) 【ETToday】

5.隐码骇客／SQL Injection　电脑专家：有法可防(91.04.23) 【ETToday】

6.隐码骇客／资料库怕改不怕删　网路银行尤其「骇」怕 (91.04.23) 【ETToday】

7.隐码骇客／侵入中文资料库得会用中文　警方监控两岸骇客 (91.04.23) 【ETToday】

8.隐码骇客／歼灭隐码骇客　警方公布绝招 (91.04.23) 【ETToday】

9.隐码骇客／被骇网站哑巴吃黄连　叹倒楣　不敢嚷嚷 (91.04.23) 【ETToday】

10.网路报税 安全性亮红灯？(91.04.23) 【UDNnews】

11.国内逾八成网站 安全堪虞(91.04.23) 【UDNnews】

12.防骇有撇步 (91.04.23) 【UDNnews】