技巧和诀窍：防范SQL注入攻击

【原文地址】Tip/Trick: Guard Against SQL Injection Attacks
【原文发表日期】 Saturday, September 30, 2006 9:11 AM
SQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。
Michael Sutton 最近发表了一篇非常发人深省的帖子，讲述在公共网上这问题是多么地普遍。他用Google的Search API建了一个C#的客户端程序，寻找那些易受SQL 注入攻击的网站。其步骤很简单：
寻找那些带查询字符串的网站(例如，查询那些在URL里带有 "id=" 的URL)
给这些确定为动态的网站发送一个请求，改变其中的id=语句，带一个额外的单引号，来试图取消其中的SQL语句(例如，如 id=6' )
分析返回的回复，在其中查找象“SQL” 和“query”这样的词，这往往表示应用返回了详细的错误消息(这本身也是很糟糕的)
检查错误消息是否表示发送到SQL服务器的参数没有被正确加码(encoded)，如果如此，那么表示可对该网站进行SQL注入攻击
对通过Google搜寻找到的1000个网站的随机取样测试，他检测到其中的11.3%有易受SQL注入攻击的可能。这非常，非常地可怕。这意味着黑客可以远程利用那些应用里的数据，获取任何没有hashed或加密的密码或信用卡数据，甚至有以管理员身份登陆进这些应用的可能。这不仅对开发网站的开发人员来说很糟糕，而且对使用网站的消费者或用户来说更糟糕，因为他们给网站提供了数据，想着网站是安全的呢。
那么SQL注入攻击到底是什么玩意？
有几种情形使得SQL注入攻击成为可能。最常见的原因是，你动态地构造了SQL语句，却没有使用正确地加了码(encoded)的参数。譬如，考虑这个SQL查询的编码，其目的是根据由查询字符串提供的社会保险号码(social security number)来查询作者(Authors)：
Dim SSN as StringDim SqlQuery as StringSSN = Request.QueryString("SSN")SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = '" + SSN + "'"
如果你有象上面这个片断一样的SQL编码，那么你的整个数据库和应用可以远程地被黑掉。怎么会呢？在普通情形下，用户会使用一个社会保险号码来访问这个网站，编码是象这样执行的：
' URL to the page containing the above codehttp://mysite.com/listauthordetails.aspx?SSN=172-32-9999' SQL Query executed against the database SELECT au_lname, au_fname FROM authors WHERE au_id = '172-32-9999'
这是开发人员预期的做法，通过社会保险号码来查询数据库中作者的信息。但因为参数值没有被正确地加码，黑客可以很容易地修改查询字符串的值，在要执行的值后面嵌入附加的SQL语句 。譬如，
' URL to the page containing the above codehttp://mysite.com/listauthordetails.aspx?SSN=172-32-9999';DROP DATABASE pubs --' SQL Query executed against the database SELECT au_lname, au_fname FROM authors WHERE au_id = '';DROP DATABASE pubs --
注意到没有，我可以在SSN查询字符串值的后面添加“ ';DROP DATABASE pubs -- ”，通过 “;”字符来终止当前的SQL语句，然后添加了我自己的恶意的SQL语句，然后把语句的其他部分用“--”字符串注释掉。因为我们是手工在编码里构造SQL语句，我们最后把这个字符串传给了数据库，数据库会先对authors表进行查询，然后把我们的pubs数据库删除。“砰(bang)”的一声，数据库就没了！
万一你认为匿名黑客删除你的数据库的结果很坏，但不幸的是，实际上，这在SQL注入攻击所涉及的情形中算是比较好的。一个黑客可以不单纯摧毁数据，而是使用上面这个编码的弱点，执行一个JOIN语句，来获取你数据库里的所有数据，显示在页面上，允许他们获取用户名，密码，信用卡号码等等。他们也可以添加 UPDATE/INSERT 语句改变产品的价格，添加新的管理员账号，真的搞砸你(screw up your life)呢。想象一下，到月底检查库存时，发现你库房里的实际产品数与你的帐目系统(accounting system)汇报的数目有所不同。。。
那该如何保护你自己？
SQL注入攻击是你需要担心的事情，不管你用什么web编程技术，再说所有的web框架都需要担心这个的。你需要遵循几条非常基本的规则：
1) 在构造动态SQL语句时，一定要使用类安全(type-safe)的参数加码机制。大多数的数据API，包括ADO和ADO.NET，有这样的支持，允许你指定所提供的参数的确切类型(譬如，字符串，整数，日期等)，可以保证这些参数被恰当地escaped/encoded了，来避免黑客利用它们。一定要从始到终地使用这些特性。
例如，在ADO.NET里对动态SQL，你可以象下面这样重写上述的语句，使之安全：
Dim SSN as String = Request.QueryString("SSN")Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")Dim param = new SqlParameter("au_id", SqlDbType.VarChar)param.Value = SSNcmd.Parameters.Add(param)
这将防止有人试图偷偷注入另外的SQL表达式(因为ADO.NET知道对au_id的字符串值进行加码)，以及避免其他数据问题(譬如不正确地转换数值类型等)。注意，VS 2005内置的TableAdapter/DataSet设计器自动使用这个机制，ASP.NET 2.0数据源控件也是如此。
一个常见的错误知觉(misperception)是，假如你使用了存储过程或ORM，你就完全不受SQL注入攻击之害了。这是不正确的，你还是需要确定在给存储过程传递数据时你很谨慎，或在用ORM来定制一个查询时，你的做法是安全的。
2) 在部署你的应用前，始终要做安全审评(security review)。建立一个正式的安全过程(formal security process)，在每次你做更新时，对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线(going live)前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关，推说，“就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。
3) 千万别把敏感性数据在数据库里以明文存放。我个人的意见是，密码应该总是在单向(one-way )hashed过后再存放，我甚至不喜欢将它们在加密后存放。在默认设置下，ASP.NET 2.0 Membership API 自动为你这么做，还同时实现了安全的SALT 随机化行为(SALT randomization behavior)。如果你决定建立自己的成员数据库，我建议你查看一下我们在这里发表的我们自己的Membership provider的源码。同时也确定对你的数据库里的信用卡和其他的私有数据进行了加密。这样即使你的数据库被人入侵(compromised)了的话，起码你的客户的私有数据不会被人利用。
4) 确认你编写了自动化的单元测试，来特别校验你的数据访问层和应用程序不受SQL注入攻击。这么做是非常重要的，有助于捕捉住(catch)“就是一个小小的更新，所有不会有安全问题”的情形带来的疏忽，来提供额外的安全层以避免偶然地引进坏的安全缺陷到你的应用里去。
5) 锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限。如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限从你的account payables表来生成报表，那么确认你禁止它对此表的 insert/update/delete 的权限。
如何了解更多的相关知识
微软Prescriptive Architecture Guidance (PAG)产品组发表了许多非常棒的安全指导方针方面的文档，你应该留出些时间来阅读一下：
ASP.NET 2.0 安全指定方针
ASP.NET 2.0 安全部署清单
ASP.NET 2.0 安全实践概述
Web应用工程安全索引
如何对托管编码进行安全编码审评
ASP.NET 2.0 安全问题列表
ASP.NET 2.0 安全培训单元(Training Modules)
此外，还有这些其他的PAG How-To文章对进一步了解如何保护你免受注入攻击大有用处：
如何在ASP.NET里防范表单注入攻击
如何在ASP.NET里防范SQL注入攻击
你还可以在我写的这篇关于安全的博客帖子以及我的ASP.NET 技巧和诀窍页上找到关于ASP.NET安全方面的有用的信息。
更新： Bertrand给我指出了他2年前写的这篇关于SQL注入攻击的非常棒的帖子，非常值得一读。
希望本文对你有所帮助，
Scott
标签：ASP.NET, Security, Tips and Tricks
(思归译)
发表于 2006年10月2日 12:32
-->

25种方式给网站添加优质内容

我们早已知道，网站的质量在Google中起关键作用。高级Google工程师Matt Cutts在他的blog中多次提到，“优质”对于Google至关重要，无论是内容还是连接。
不过，创建内容和连接并不一定要经历痛苦的过程。网站搭建者们开始趋于从某些角度考虑如何组织内容。所以，让我们放开创新的思维，来想一想所有这些给网站添加优质内容的方法吧。
请先记住以下几点：
你只是被你自己的想法和你的网站限制住了。尝试着往完全不同的方向探索一下。
你的网站内容应该是写给你的顾客看，而不是给你。网站内容也不是写给搜索引擎的，它们不是你的目标群体。
把你的网站想象成一幅完整的画，一个有生命的会呼吸的整体。它会持续成长，而不是停滞不前。
现在我们进入正题了：面向目标群体的优质内容。
1，事件日历。对于房地产网站，它可用于展示新开房屋信息；对于在线书店，可用于介绍新书签名会、作者见面会等；对于收藏类网站，可用于介绍最近的聚会活动等……确保访客能添加他们自己的事件到日历中去。
2，地图。考虑给房地产网站、捕猎/捕鱼网站、露营网站、酒店或者其他任何户外休闲网站建一个地图。在地图的底部添加内容来描述该地图并说明它的意图。
3，售前/售后经历。如果你的顾客能就你提供的产品或服务写一小段文字，或者探讨你的产品/服务带来的好处，就再好不过了。你可以把它们作为成功的证明放在网站上。
4，来自顾客的图片。你可以为已有顾客设立一个特别的地方，让他们能够在你的网站贴出自己的图片和日志等等。这个方法比较适合度假网站、休闲网站、婚姻网站、宝宝网站、摄影工作室等等。想一想，在Halloween网站该怎么做？花卉网站呢？
5，在线填色画。发挥你的想象力。如果你将一些度假物品做成填色画，孩子们就可以在旅程开始前给它们填完色然后 贴到他们在网上专有的版块。旅程结束后，他们的父母又可以贴上度假的图片和日志。这样，一个属于他们的度假纪念“网站”（其实完全是建立在你的网站上）就 成为了你这个度假网站的招牌。他们会怎么使用这个“网站”呢？他们会告诉朋友、爷爷奶奶、叔叔婶婶等等。他们会在其他地方给这个“网站”做连接。你可以把 这个招牌作为独特的核心卖点来跟对手竞争。你将会获得以往顾客过来的连接和未来顾客的浏览。你会赢得优势。如果网站可以作孩子们的文章，你可以想很多增添 填色画的方法，或者类似的针对孩子的创造性活动。
6，blog或论坛当然会给网站增添新内容。
7，令你的目标群体感兴趣的文章或者新页面。有规律的写出新内容——你的目标应该是每周1-2篇。
8，在站内主页展示专家问答。请个专家来回答问题，然后每周在主页贴出一问一答（或者每天都贴出，自由控制）。把站上以往的问答做个可搜索的归档。
9，产品评测。如果你的行业有产品或软件需要评测，可考虑写一些公正的评测文章。将文章发布到自己的网站和在线 刊物上。读者永远都会对完整的公正评测感兴趣，因为作者不失偏颇的列出产品的优点与弱点。如果你手头的是风景区业务，应该如何去“评测”呢？作为专家的你 将会使用什么产品呢？为什么？
10，小提示。如果你的产品或服务适合用小提示，就写一个系列并把它们发布到你的网站上。作为新闻信来发送。邀请使用你的产品的读者也来写小提示/技巧，如果他们提交过来，就给他们一些购买其他产品的优惠/折扣。
11，常见问题。常见问题（FAQ）是你的目标群体想要了解的内容。当你从读者那里收到提问，就在FAQ里面添加新的问答内容，使它保持更新。
12，使用手册/指引。人们喜欢看使用手册。如果你正在线销售抽水马桶部件，为何不写一份关于“如何在卫生间安 装抽水马桶”的指导手册呢？为你的顾客提供便利，客人就会源源不断。撰写一系列的使用手册。做一个网络上的“厕所超人”。听着这好像不够有魅力，不过如此 一来你就会被高度关注，并能将网站访问流量转化为销售，你会在互联网以外魅力十足。
13，能够解决实际问题的内容。人们为何访问互联网？为了寻找信息或者对比购物。如果你能为你的访客解决这些问 题，就帮他们达到了目的。举例说，你在卖东方的小毯子。你的潜在顾客可能正寻求点子如何装饰她的办公室。她的办公室很狭小，她想要增加点颜色。墙壁的大部 分都被窗子和金属书橱占据了。如果你创造出一系列内容/图片来展现你的东方小毯子能如何的解决她的问题，其中一个例子里提到长条形的东方地毯。这些内容不 但包含图片，还有文字描述各个问题并给出解决方案。你的潜在顾客自然能从搜索引擎里找到你的页面。
14，历史数据。这次假设你是销售钢管的。钢管的历史是怎样的？创建一个页面专门介绍一下它的历史吧。事实上， 你还应该创建关于以下内容的页面：钢管和铜管以及其他种类的金属管的比较；为何会生锈；钢的硬度如何；钢管的实际价值（钢管是如何在近乎每个建筑物中使用 的，等等）；钢的寿命；等等等等，所有这些构成一个版块，将是整个网站非常有价值的组成。
注意，问题来了。这些内容对钢管公司的目标群体是否也有有价值？试想一个目标群：全美国的职业教育培训班。这对他们来说可是个有利资源。如果他们连接到这个网站，都是.edu的网站，是不是会给网站很高的连接欢迎度？想一想看。我们谈的是优质的内容和优质连接。
再举个一个历史数据的例子，圣西蒙岛上的一家旅店。这样一家旅店当然应该在它的网站上提供关于这个岛屿的历史和旅游信息等等。
一家销售Mustang软管部件的网站该如何运用这个策略？销售婚纱礼服的网站呢？
15，采访。制造内容的最简单手段。采访你所在行业内的一位专家。给他列出问题，让专家用自己的话回答。除了纠正拼写错误或者语法错误，不要删改专家的回答。与专家坦诚相待，并保持采访文章的完整性。写出一系列采访文章，并在你的网站主要页面上高亮表示出来。
16，季节性文章。你的行业是否也有“季节性”？如果有，季节性文章常常会很受欢迎。
17，统计。在你的网站上提供统计数据也是一种增加内容的方式。如果统计数据不是来自你自己，则往往会告诉你信息是从哪里来的。引用这些信息来源！金融或者资产抵押网站如何运用这个策略？
18，建议专栏。这可以用在约会网站，也可用在其他网站。SEO网站如何运用此战略？室内装潢网站或者整形手术网站呢？
19，每月冠军。假设你经营一个销售插花的网站。邀请你的顾客发送过来他们用你的花设计的花束的照片等等。把照片公布在网上。每个月选出一个优胜者，并把他的照片放在网站的显要页面。给优胜者颁发价值25美元的礼品作为获奖证书。
20，用花店的例子，制作一些关于如何插花的视频教程。确保观众照着教程做的时候所有的材料都可以在你的店里买到。
21，还是拿花店举例。邀请顾客提供一些心得，比如他们是如何制作插花的，用到了哪些材料，以及照片等等。把这些信息放到你的网站上。相关的材料就连接到你的在线商店。发挥创意。在你的行业里你该怎么做？如果你有一个戏装网站，该怎么做？艺术品网站呢？动动脑筋，把这个策略用到狩猎或者捕鱼网站。
22，每月送出一封新闻信，附上你想告诉顾客的那些信息。可以是来自顾客的小技巧、销售中的产品、假期计划、每月冠军等等。把过去的新闻信也贴在网站上，增加内容。
23，重要人物的传记。如果与你的行业相关，你就可以这么做。比如你经营一个关于美国内战历史的网站或者一个旧书店，这就非常有用。
24，新闻事件。因你的所在行业而异。
25，与社群相关的页面。如果这是个本地网站，比如，你可以在社群相关的页面或者blog上讨论本地的餐馆、棒球联盟、校园开幕式等等。
我们还只是列举出这些点子，开了个头。所有都要根据你的所在行业、你的产品或者服务而不同。你还需要集思广益。
结论…
创建内容时记住“优质”。上面这些点子应该可以帮你开始了。
然后也想想下面这些问题。如果你开始创建优质内容，接下来是什么？优质的连接。其他网站会开始连向你的内容，因为你做了你该做的：为你的顾客提供了他们所需。他们需要看到优质的、持续更新的信息。你成了可信赖的信息来源。
不要试图走“捷径”。成功来自辛勤的劳动。

关于作者：Robin Nobles是搜索引擎营销专栏作家，她在北美的Training of Search Engine Workshops多处分支机构担当主讲，后者甚至已经将业务扩张到欧洲。

原文：25 Ways to Add Quality Content to Your Web Site
翻译：孙波（Flavien）
来源：http://weblog.flaviensun.com