怎么才能有效防止SQL注入

69次阅读
没有评论

共计 3200 个字符,预计需要花费 8 分钟才能阅读完成。

这篇文章主要为大家展示了“怎么才能有效防止 SQL 注入”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让丸趣 TV 小编带领大家一起研究并学习一下“怎么才能有效防止 SQL 注入”这篇文章吧。

sql 注入入门

SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有 XSS 那么困难。

SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了 SQL 注入漏洞。

演示下经典的 SQL 注入

我们看到:select id,no from user where id=2;

如果该语句是通过 sql 字符串拼接得到的,比如:String sql = select id,no from user where id= + id;

其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2,那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1 进行 sql 注入攻击, 那么看到,上面的语句 (select id,no from user where id=2 or 1=1;) 将 user 表中的所有记录都查出来了。这就是典型的 sql 注入。

再看一列:

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉!可见其危害!

SQL 注入攻击的总体思路

  1、寻找到 SQL 注入的位置

  2、判断服务器类型和后台数据库类型

  3、针对不通的服务器和数据库特点进行 SQL 注入攻击

SQL 注入攻击实例

比如在一个登录界面,要求输入用户名和密码:

可以这样输入实现免帐号登录:

用户名:‘or 1 = 1 –

密 码:点登陆, 如若没有做特殊处理, 那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库 API 已经处理了这些问题)

这是为什么呢? 下面我们分析一下:

从理论上说,后台认证程序中会有如下的 SQL 语句:

String sql =  select * from user_table where username=   +userName+    and password=   +password+  

当输入了上面的用户名和密码,上面的 SQL 语句变成:

SELECT * FROM user_table WHERE username= or 1 = 1 -- and password=

分析 SQL 语句:

条件后面 username=”or 1=1 用户名等于”或 1 =1 那么这个条件一定会成功;

然后后面加两个 -,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

这还是比较温柔的,如果是执行

SELECT * FROM user_table WHERE username=  ;DROP DATABASE (DB Name) --  and password=

…. 其后果可想而知…

应对方法

下面我针对 JSP,说一下应对方法:

1.(简单又有效的方法)PreparedStatement

采用预编译语句集,它内置了处理 SQL 注入的能力,只要使用它的 setXXX 方法传值即可。

使用好处:

  (1). 代码的可读性和可维护性.

  (2).PreparedStatement 尽最大可能提高性能.

  (3). 最重要的一点是极大地提高了安全性.

原理:

sql 注入只对 sql 语句的准备 (编译) 过程有破坏作用

而 PreparedStatement 已经准备好了, 执行阶段只是把输入串作为数据处理,

而不再对 sql 语句进行解析, 准备, 因此也就避免了 sql 注入问题.

2. 使用正则表达式过滤传入的参数

要引入的包:

import java.util.regex.*;

正则表达式:

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测 SQL meta-characters 的正则表达式:/(\%27)|(\)|(\-\-)|(\%23)|(#)/ix

修正检测 SQL meta-characters 的正则表达式:/((\%3D)|(=))[^\n]*((\%27)|(\)|(\-\-)|(\%3B)|(:))/i

典型的 SQL 注入攻击的正则表达式:/\w*((\%27)|(\))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测 SQL 注入,UNION 查询关键字的正则表达式:/((\%27)|(\))union/ix(\%27)|(\)

检测 MS SQL Server SQL 注入攻击的正则表达式:/exec(\s|\+)+(s|x)p\w+/ix

等等…..

3. 字符串过滤

比较通用的一个方法:

(|| 之间的参数可以根据自己程序的需要添加)

public static boolean sql_inj(String str){
String inj_str =  |and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|, 
String inj_stra[] = split(inj_str, | 
for (int i=0 ; i   inj_stra.length ; i++ ){if (str.indexOf(inj_stra[i]) =0){
return true;
return false;
}

4.jsp 中调用该函数检查是否包函非法字符

防止 SQL 从 URL 注入:

sql_inj.java 代码:

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{public static boolean sql_inj(String str){
String inj_str =  |and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|, 
// 这里的东西还可以自己添加
String[] inj_stra=inj_str.split( \\| 
for (int i=0 ; i   inj_stra.length ; i++ ){if (str.indexOf(inj_stra[i]) =0){
return true;
return false;
}

5.JSP 页面判断代码:

使用 javascript 在客户端进行不安全字符屏蔽

功能介绍:检查是否含有”‘”,”\\”,”/”

参数说明:要检查的字符串

返回值:0:是 1:不是

函数名是

function check(a){
return 1;
fibdn = new Array (”‘” ,”\\”,”/”);
i=fibdn.length;
j=a.length;
for (ii=0; ii

总的说来,防范一般的 SQL 注入只要在代码规范上下点功夫就可以了。

凡涉及到执行的 SQL 中有变量时,用 JDBC(或者其他数据持久层)提供的如:PreparedStatement 就可以,切记不要用拼接字符串的方法就可以了。

以上是“怎么才能有效防止 SQL 注入”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-08-04发表,共计3200字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)