注意，此文是西宁威势电子信息服务有限公司技术人员：孤行一鬼（QQ：147399120）翻译英文技术文献而来，原文章版权归原作者所有，此译文版权归西宁威势电子信息服务有限公司 以及译者所有。原文出处为微软官方网站，此段说明文字是本文章不可缺少的一部分，此文首发于西宁威势电子公司网站，您可以自由转载，但请保持文章的完整性，并注明出处，否则西宁威势电子信息服务有限公司有权力追究版权责任。

    译者的话：

      近年来SQL注入攻击大行其道，好多大型站点和很多服务器被都这些攻击放倒了，老鬼本人也对注入攻击有一些肤浅的了解，但是水平和那些国内外的顶尖大牛们相比还相差甚远，本来以老鬼的水平是没有资格发布这样的文章的，因为老鬼不是专搞安全的，更不是学英语的，一方面技术有限，对原作者的思路理解可能不是很到位，另一方面E文忒菜，翻译的时候难免会出错，而发布这篇文章的主要原因是，老鬼加入了好多技术交流群，好多群内写程序写了四五年的编程人员，对自己网站的安全没有一点概念，好多人经常在群里发问：“我看到我的服务器日志中，有人经常扫描我的SQL端口和密码，我的服务器是不是离挂不远了？”、“我的数据库要是放到内网以防黑客攻击，而WEB服务器在外网，这样我的网站还能打开吗？还能正常使用吗？”由此看来，更多的人对网络安全是一无所知的，所以老鬼斗胆把以前翻译的一篇安全文章贴出来，一方面是引导新人，另一方面我是关老爷门前耍大刀，让高手们指点指点，起个抛砖引玉的作用，以提高我个人对安全方面认识的不足。By the way，我发布这样的文章，并不代表我的站点亦很安全，请大牛们友情测试我的站点的时候手下留情，点到为止，并将BUG来信告之（147399120@qq.com），我更欢大牛们直接加我QQ进行指点和斧正。在翻译过程中，老鬼对有些拿捏不准的语句，在“［ ］”中给出了原语句，如果翻译不对，大家请对照原语句理解。

    译文开始：

数据安全

《将SQL注入阻止在发生之前》

这篇文章介绍了：

如何SQL注入攻击网络

测试SQL注入的漏洞

验证用户的输入

使用.NET特性来阻止攻击

程序异常处理的重要性

文章提到以下知识

ASP。NET C＃，SQL

［示例代码下载］ SQLInjection.exe (153 KB)

内容提纲

好好的SQL语句发生了问题

不给黑客机会 [原：Equal Opportunity Hacks]

所有的输入都很不安全

避免动态的SQL

用最小的权限执行

优化错误信息［原：Failing Gracefully］

结论

开发者们有了诸如ASP.NET 和强大的数据库服务,如Microsoft® SQL Server™的先进的服务端技术武装以后,他们可以很轻松开发出动态的,数据库驱动的WEB站点.但是功能强大的ASP.NET 和 SQL 却能够被黑客通过架设一个“所有通用”［原： all-too-common ］类的攻击，那就是―――SQL注入攻击。

最简单的攻击思路是这样的：你创建了一个WEB页，这个页允许用户在输入框中输入字符，这个字符可以被引入到数据库中去经理查询操作。一个黑客在这个输入框中输入了一个畸形SQL 语句，从而改变了原有的查询，用是它可以被用来插入，改变，或损害后台数据库。这怎么可能呢？让我来举个例子吧。

好语句也不好使了

许多ASP.NET程序都使用和下面“代码段一”一样的方法来进行用户身份验证。

 当用户单击了BadLogin.aspx的登录按钮时，cmdLogin_Click 方法就会通过运行一个查询去计算记录集的数量值，记录集是在用户表 Users table 中进行匹配，条件是用户名字段UserName和密码字段Password要和用户输入的一致，以此来尝试验证这个用户。

Figure 1 BadLogin.aspx.cs

在多数情况下，程序都会按我们意想的工作。用户输入一个用户名和密码，然后在USER表中进行比较。此时一个动态的SQL查询返回了相匹配的行数查询结果的数量。用户验证完成，并转向到了请求的页面。而哪些输入错误用户名和密码的用户将会验证失败。然而对于一个黑客来说，它可以输入一个其实并不存在，表面上看上去也无害的下面的字符，在不知道真正用户名和密码的情况下访问系统。