我想知道您是否可以让 Sql Server 查看传入的查询字符串并拒绝与特定模式匹配的查询字符串。换句话说,对于某一类查询(可能由正则表达式标识),我想知道是否可以让 Sql Server 返回错误消息,而不是像往常一样处理它们。
更具体地说,并给出一个潜在的用例,请考虑对 Sql Injection attack 的描述。如果我的网站受到这些技术的持续攻击,并且如果修补网站看起来是一个漫长的过程,那么(如果 Sql 允许的话)尝试通过在 Sql 中放入一些基本上说
如果查询与正则表达式CAST(0x[0-9A-Za-z]{20,}匹配,则不要执行它!
我的猜测是,如果这种过滤是可能的,那么这样做需要编写某种自定义的 Sql Server 加载项 DLL。但也许您可以使用 Sql Server 2008 的内置审计功能来做类似的事情?我真的不知道,我不确定文档中的哪个位置是开始查找的最佳位置。
如果你想指出为什么数据库是一个试图阻止 sql 注入攻击的愚蠢地方,那很好。但我的主要问题不是在这个特定用例中这是否是一个好主意,而是这种查询过滤/拒绝是否可能。
不,您不能让 SQL Server 拒绝基于某些模式匹配的语句。如何拒绝所有用户的 SELECT 权限并强制他们使用您创建的存储过程来访问基础表中的数据?只要您很好地验证了存储过程的输入,您应该是相当安全的。
你的预感是正确的:数据库是解决这个问题的错误地方。SQL 注入起作用的全部原因是这些命令是有效的 SQL。通常,当您的应用程序将查询传递给数据库服务器时,特殊字符已转换回普通文本。
如果您不想在应用程序级别缓解此问题,那么您应该研究软件防火墙解决方案,例如 dotDefender。在我看来,这也是在错误的地方攻击问题,最终会通过防火墙的逻辑。
不,没有办法让 SQL Server 基于模式匹配拒绝命令。要执行此类操作,您必须编写一个侦听器来接受 SQL 命令,检查它们,然后将它们传递给数据库引擎执行。
你最好在应用层处理这个。