怎么才能有效防止SQL注入

共计 3200 个字符，预计需要花费 8 分钟才能阅读完成。

这篇文章主要为大家展示了“怎么才能有效防止 SQL 注入”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让丸趣 TV 小编带领大家一起研究并学习一下“怎么才能有效防止 SQL 注入”这篇文章吧。

sql 注入入门

SQL 注入是一类危害极大的攻击形式。虽然危害很大，但是防御却远远没有 XSS 那么困难。

SQL 注入漏洞存在的原因，就是拼接 SQL 参数。也就是将用于输入的查询参数，直接拼接在 SQL 语句中，导致了 SQL 注入漏洞。

演示下经典的 SQL 注入

我们看到：select id,no from user where id=2;

如果该语句是通过 sql 字符串拼接得到的，比如：String sql = select id,no from user where id= + id;

其中的 id 是一个用户输入的参数，那么，如果用户输入的是 2，那么上面看到查到了一条数据，如果用户输入的是 2 or 1=1 进行 sql 注入攻击, 那么看到，上面的语句 (select id,no from user where id=2 or 1=1;) 将 user 表中的所有记录都查出来了。这就是典型的 sql 注入。

再看一列：

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉！可见其危害！

SQL 注入攻击的总体思路

  1、寻找到 SQL 注入的位置

  2、判断服务器类型和后台数据库类型

  3、针对不通的服务器和数据库特点进行 SQL 注入攻击

SQL 注入攻击实例

比如在一个登录界面，要求输入用户名和密码：

可以这样输入实现免帐号登录：

用户名：‘or 1 = 1 –

密 码：点登陆, 如若没有做特殊处理, 那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库 API 已经处理了这些问题)

这是为什么呢? 下面我们分析一下：

从理论上说，后台认证程序中会有如下的 SQL 语句：

String sql =  select * from user_table where username=   +userName+    and password=   +password+  

当输入了上面的用户名和密码，上面的 SQL 语句变成：

SELECT * FROM user_table WHERE username= or 1 = 1 -- and password=

分析 SQL 语句：

条件后面 username=”or 1=1 用户名等于”或 1 =1 那么这个条件一定会成功；

然后后面加两个 -，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

这还是比较温柔的，如果是执行

SELECT * FROM user_table WHERE username=  ;DROP DATABASE (DB Name) --  and password=

…. 其后果可想而知…

应对方法

下面我针对 JSP，说一下应对方法：

1.（简单又有效的方法）PreparedStatement

采用预编译语句集，它内置了处理 SQL 注入的能力，只要使用它的 setXXX 方法传值即可。

使用好处：

  (1). 代码的可读性和可维护性.

  (2).PreparedStatement 尽最大可能提高性能.

  (3). 最重要的一点是极大地提高了安全性.

原理：

sql 注入只对 sql 语句的准备 (编译) 过程有破坏作用

而 PreparedStatement 已经准备好了, 执行阶段只是把输入串作为数据处理,

而不再对 sql 语句进行解析, 准备, 因此也就避免了 sql 注入问题.

2. 使用正则表达式过滤传入的参数

要引入的包：

import java.util.regex.*;

正则表达式：

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式：

检测 SQL meta-characters 的正则表达式：/(\%27)|(\)|(\-\-)|(\%23)|(#)/ix

修正检测 SQL meta-characters 的正则表达式：/((\%3D)|(=))[^\n]*((\%27)|(\)|(\-\-)|(\%3B)|(:))/i

典型的 SQL 注入攻击的正则表达式：/\w*((\%27)|(\))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测 SQL 注入，UNION 查询关键字的正则表达式：/((\%27)|(\))union/ix(\%27)|(\)

检测 MS SQL Server SQL 注入攻击的正则表达式：/exec(\s|\+)+(s|x)p\w+/ix

等等…..

3. 字符串过滤

比较通用的一个方法：

（|| 之间的参数可以根据自己程序的需要添加）

public static boolean sql_inj(String str){
String inj_str =  |and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|, 
String inj_stra[] = split(inj_str, | 
for (int i=0 ; i   inj_stra.length ; i++ ){if (str.indexOf(inj_stra[i]) =0){
return true;
return false;
}

4.jsp 中调用该函数检查是否包函非法字符

防止 SQL 从 URL 注入：

sql_inj.java 代码：

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{public static boolean sql_inj(String str){
String inj_str =  |and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|, 
// 这里的东西还可以自己添加
String[] inj_stra=inj_str.split( \\| 
for (int i=0 ; i   inj_stra.length ; i++ ){if (str.indexOf(inj_stra[i]) =0){
return true;
return false;
}

5.JSP 页面判断代码：

使用 javascript 在客户端进行不安全字符屏蔽

功能介绍：检查是否含有”‘”,”\\”,”/”

参数说明：要检查的字符串

返回值：0：是 1：不是

函数名是

function check(a){
return 1;
fibdn = new Array (”‘” ,”\\”,”/”);
i=fibdn.length;
j=a.length;
for (ii=0; ii