社区编辑申请
注册/登录
如何有效防止SQL注入攻击
数据库 其他数据库
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。

SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。

一 背景

假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信息及完成情况,具体设计如下:

 

数据如下:

 

本系统采用mysql做为数据库,使用Jdbc来进行数据库的相关操作。系统提供了一个功能查询该学生的课程完成情况,代码如下。

  1. @RestController 
  2. public class Controller { 
  3.  
  4.     @Autowired 
  5.     SqlInject sqlInject; 
  6.  
  7.     @GetMapping("list"
  8.     public List<Course> courseList(@RequestParam("studentId") String studentId){ 
  9.         List<Course> orders = sqlInject.orderList(studentId); 
  10.         return orders; 
  11.     } 
  12. @Service 
  13. public class SqlInject { 
  14.  
  15.     @Autowired 
  16.     private JdbcTemplate jdbcTemplate; 
  17.  
  18.     public List<Course> orderList(String studentId){ 
  19.         String sql = "select id,course_id,student_id,status from course where student_id = "+ studentId; 
  20.         return jdbcTemplate.query(sql,new BeanPropertyRowMapper(Course.class)); 
  21.     } 

二 注入攻击演示

1. 正常情况下查询一个学生所选课程及完成情况只需要传入student_id,便可以查到相关数据。

 

根据响应结果,我们很快便能写出对应的sql,如下:

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 

2. 如果我们想要获取这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 or 1 = 1  

请求接口的时候将studendId 设置为4 or 1 = 1,这样这条sql的where条件就恒真了。sql也就等同于下面这样

  1. select id,course_id,student_id,status  
  2. from course  

请求结果如下,我们拿到了这张表的所有数据

 

3. 查询mysql版本号,使用union拼接sql

  1. union select 1,1,database(),1 

 

4. 查询数据库名

union select 1,1,database(),1

 

 

5. 查询mysql当前用户的所有库

union select 1,1, (SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) schemaName,1

 

看完上面这些演示后,你害怕了吗?你所有的数据配置都完全暴露出来了,除此之外,还可以完成很多操作,更新数据、删库、删表等等。

三 如何防止sql注入

1. 代码层防止sql注入攻击的最佳方案就是sql预编译

  1. public List<Course> orderList(String studentId){ 
  2.     String sql = "select id,course_id,student_id,status from course where student_id = ?"
  3.     return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class)); 

这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。

2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储

3. 规定数据长度,能在一定程度上防止sql注入

4. 严格限制数据库权限,能最大程度减少sql注入的危害

5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

6. 过滤参数中含有的一些数据库关键词

  1. @Component 
  2. public class SqlInjectionFilter implements Filter { 
  3.     @Override 
  4.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { 
  5.         HttpServletRequest req=(HttpServletRequest)servletRequest; 
  6.         HttpServletRequest res=(HttpServletRequest)servletResponse; 
  7.         //获得所有请求参数名 
  8.         Enumeration params = req.getParameterNames(); 
  9.         String sql = ""
  10.         while (params.hasMoreElements()) { 
  11.             // 得到参数名 
  12.             String name = params.nextElement().toString(); 
  13.             // 得到参数对应值 
  14.             String[] value = req.getParameterValues(name); 
  15.             for (int i = 0; i < value.length; i++) { 
  16.                 sql = sql + value[i]; 
  17.             } 
  18.         } 
  19.         if (sqlValidate(sql)) { 
  20.             throw new IOException("您发送请求中的参数中含有非法字符"); 
  21.         } else { 
  22.             chain.doFilter(servletRequest,servletResponse); 
  23.         } 
  24.     } 
  25.  
  26.     /** 
  27.      * 关键词校验 
  28.      * @param str 
  29.      * @return 
  30.      */ 
  31.     protected static boolean sqlValidate(String str) { 
  32.         // 统一转为小写 
  33.         str = str.toLowerCase(); 
  34.         // 过滤掉的sql关键字,可以手动添加 
  35.         String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + 
  36.                 "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + 
  37.                 "table|from|grant|use|group_concat|column_name|" + 
  38.                 "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + 
  39.                 "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#"
  40.         String[] badStrs = badStr.split("\\|"); 
  41.         for (int i = 0; i < badStrs.length; i++) { 
  42.             if (str.indexOf(badStrs[i]) >= 0) { 
  43.                 return true
  44.             } 
  45.         } 
  46.         return false
  47.     } 

本文转载自微信公众号「 Java旅途」,可以通过以下二维码关注。转载本文请联系 Java旅途公众号。

 

责任编辑:武晓燕 来源: Java旅途
相关推荐

2020-09-28 09:30:13

mybatis

2010-10-22 15:18:18

SQL注入漏洞

2020-10-10 10:10:07

安全漏洞技术

2009-03-14 16:50:38

2022-03-15 07:58:31

SQL风险字符串

2020-12-08 08:14:11

2021-09-16 09:05:45

2021-05-08 15:22:31

2021-09-22 13:08:06

2021-01-11 09:52:03

JavaSQL框架

2017-09-20 15:07:32

数据库SQL注入技巧分享

2019-07-24 15:30:00

同话题下的热门内容

如何设计多语言数据库一款Web3原生数据库:Tableland高并发+海量数据下如何实现系统解耦?「下」每秒上千次高并发访问,HDFS优雅的抗住了高并发+海量数据下如何实现系统解耦?「中」高并发+海量数据下如何实现系统解耦?「上」干掉几百行的大SQL,我用HadoopFlink SQL 知其所以然:Explain、Show、Load、Set 子句

编辑推荐

几款开源的图形化Redis客户端管理软件推荐NoSQL数据库概览及其与SQL语法的比较为什么MongoDB敢说“做以前你从未能做的事”Python操作MongoDB看这一篇就够了一文看懂分布式数据库原理和 PostgreSQL 分布式架构
我收藏的内容
点赞
收藏

51CTO技术栈公众号