我想知道您是否可以让 Sql Server 查看传入的查询字符串并拒绝符合特定模式的查询字符串。换句话说,对于某一类查询(可能由正则表达式标识),我想知道是否可以使 Sql Server 返回错误消息,而不是像往常一样处理它们。
为了更具体地说明并给出潜在的用例,请考虑这是对 SQL 注入攻击的描述如果我的网站持续受到类似技术的攻击,并且修复网站看起来是一个漫长的过程,那么尝试通过在 Sql 中添加一些内容来获得一些暂时的缓解是很诱人的(如果 Sql 允许的话),基本上是说
如果查询与正则表达式匹配CAST(0x[0-9A-Za-z]{20,}那么就不要执行它!
我的猜测是,如果这种过滤是可能的,那么要做到这一点就需要编写某种自定义的 Sql Server 插件 DLL。但也许您可以使用 Sql Server 2008 的内置审计功能来做这样的事情?我真的不知道,我也不确定文档中的哪个地方是开始查找的最佳位置。
如果你想指出为什么数据库是阻止 SQL 注入攻击的愚蠢地方,那没问题。但我的主要问题不是在这种特定用例中这是否是个好主意,而是这种查询过滤/拒绝是否可行。
答案1
您的直觉是正确的:数据库不是解决这个问题的正确地方。SQL 注入之所以有效,是因为命令是有效的 SQL。通常,当您的应用程序将查询传递给数据库服务器时,特殊字符已经恢复为正常文本。
如果您不想在应用程序级别缓解此问题,那么您应该研究软件防火墙解决方案,例如 dotDefender。在我看来,这也是在错误的地方解决问题,最终某些东西会突破防火墙的逻辑。
答案2
不,您不能让 SQL 服务器根据某些模式匹配拒绝语句。拒绝所有用户的 SELECT 权限并强制他们使用您创建的存储过程来访问基础表中的数据怎么样?只要您很好地验证了存储过程的输入,您就应该相当安全。
答案3
不,没有办法让 SQL Server 根据模式匹配拒绝命令。要执行此类操作,您必须编写一个侦听器来接受 SQL 命令,检查它们,然后将它们传递给数据库引擎执行。
你最好在应用程序层处理这个问题。