51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

让你彻底明白SQL注入

作者: 明尧
运维 数据库运维
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。

[[356244]]

SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。

一、背景假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信息及完成情况,具体设计如下:

 


 

 

 

数据如下:

 

本系统采用mysql做为数据库,使用Jdbc来进行数据库的相关操作。系统提供了一个功能查询该学生的课程完成情况,代码如下。

  1. @RestController 
  2. public class Controller { 
  3.      
  4.     @Autowired 
  5.     SqlInject sqlInject; 
  6.      
  7.     @GetMapping("list"
  8.     public List<Course> courseList(@RequestParam("studentId") String studentId){ 
  9.         List<Course> orders = sqlInject.orderList(studentId); 
  10.         return orders; 
  11.     } 
  1. @Service 
  2. public class SqlInject { 
  3.  
  4.     @Autowired 
  5.     private JdbcTemplate jdbcTemplate; 
  6.      
  7.     public List<Course> orderList(String studentId){ 
  8.         String sql = "select id,course_id,student_id,status from course where student_id = "+ studentId; 
  9.         return jdbcTemplate.query(sql,new BeanPropertyRowMapper(Course.class)); 
  10.     } 

二、注入攻击演示**1 **. 正常情况下查询一个学生所选课程及完成情况只需要传入student_id,便可以查到相关数据。

 

根据响应结果,我们很快便能写出对应的sql,如下:

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 

2. 如果我们想要获取这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 or 1 = 1  

请求接口的时候将studendId 设置为4 or 1 = 1,这样这条sql的where条件就恒真了。sql也就等同于下面这样

  1. select id,course_id,student_id,status  
  2. from course  

请求结果如下,我们拿到了这张表的所有数据

 

3. 查询mysql版本号,使用union拼接sql

  1. union select 1,1,version(),1 

 

4. 查询数据库名

  1. union select 1,1,database(),1 

 

5. 查询mysql当前用户的所有库

  1. union select 1,1, (SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) schemaName,1 

 

看完上面这些演示后,你害怕了吗?你所有的数据配置都完全暴露出来了,除此之外,还可以完成很多操作,更新数据、删库、删表等等。

三、如何防止sql注入

1. 代码层防止sql注入攻击的最佳方案就是sql预编译

  1. public List<Course> orderList(String studentId){ 
  2.     String sql = "select id,course_id,student_id,status from course where student_id = ?"
  3.     return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class)); 

这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。

2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储

3. 规定数据长度,能在一定程度上防止sql注入

4. 严格限制数据库权限,能最大程度减少sql注入的危害

5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

6. 过滤参数中含有的一些数据库关键词

  1. @Component 
  2. public class SqlInjectionFilter implements Filter { 
  3.     @Override 
  4.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { 
  5.         HttpServletRequest req=(HttpServletRequest)servletRequest; 
  6.         HttpServletRequest res=(HttpServletRequest)servletResponse; 
  7.         //获得所有请求参数名 
  8.         Enumeration params = req.getParameterNames(); 
  9.         String sql = ""
  10.         while (params.hasMoreElements()) { 
  11.             // 得到参数名 
  12.             String name = params.nextElement().toString(); 
  13.             // 得到参数对应值 
  14.             String[] value = req.getParameterValues(name); 
  15.             for (int i = 0; i < value.length; i++) { 
  16.                 sql = sql + value[i]; 
  17.             } 
  18.         } 
  19.         if (sqlValidate(sql)) { 
  20.             throw new IOException("您发送请求中的参数中含有非法字符"); 
  21.         } else { 
  22.             chain.doFilter(servletRequest,servletResponse); 
  23.         } 
  24.     } 
  25.  
  26.     /** 
  27.      * 关键词校验 
  28.      * @param str 
  29.      * @return 
  30.      */ 
  31.     protected static boolean sqlValidate(String str) { 
  32.         // 统一转为小写 
  33.         str = str.toLowerCase(); 
  34.         // 过滤掉的sql关键字,可以手动添加 
  35.         String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + 
  36.                 "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + 
  37.                 "table|from|grant|use|group_concat|column_name|" + 
  38.                 "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + 
  39.                 "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#"
  40.         String[] badStrs = badStr.split("\\|"); 
  41.         for (int i = 0; i < badStrs.length; i++) { 
  42.             if (str.indexOf(badStrs[i]) >= 0) { 
  43.                 return true
  44.             } 
  45.         } 
  46.         return false
  47.     } 

本文转载自微信公众号「Java旅途」,可以通过以下二维码关注。转载本文请联系Java旅途公众号。

 

责任编辑:武晓燕 来源: Java旅途
SQL注入数据库
相关推荐
彻底了解SQL注入、XSS和CSRF
相信大家在各种技术文章都看到过SQL注入、XSS和CSRF这三个名词,但是我觉得有一部分人可能并不清楚这三个词的真正含义。接下来,我就说下这三个名词的含义,希望对大家能有所帮助。

2019-02-25 09:20:53

30分钟,彻底明白Promise原理
前一阵子记录了promise的一些常规用法,这篇文章再深入一个层次,来分析分析promise的这种规则机制是如何实现的。ps:本文适合已经对promise的用法有所了解的人阅读,如果对其用法还不是太了解,可以移步我的上一篇博文。

2017-06-07 18:40:33

PromiseJavascript前端
四个步骤彻底明白Redis到底快在哪里
Redis是一种基于键值对(KeyValue)的NoSQL数据库,Redis的Value可以由String,hash,list,set,zset,Bitmaps,HyperLogLog等多种数据结构和算法组成。本文主要介绍到底Redis快在哪里?

2019-07-26 10:15:06

Redis数据库
真的了解 SQL 注入吗?
黑客通过将恶意的SQL查询或者添加语句插入到应用的输入参数中,然后在后台SQL服务器上解析执行进行程序攻击。那黑客具体是如何将恶意的SQL脚本进行植入到系统中,从而达到攻击的目的呢

2021-01-15 07:44:21

SQL注入攻击黑客
由浅到深明白 MySQL 的事务
事务(Transaction)是并发控制的基本单位。所谓的事务呢,它是一个操作序列,这些操作要么都执行,要么都不执行,它是一个不可分割的工作单位。

2022-01-16 18:55:33

MySQL事务数据库
何谓SQL注入,这个漫画告诉
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。今天我们来聊一聊SQL注入相关的内容。

2019-11-28 08:59:03

SQL注入网络攻击网络安全
10张图彻底理解回调函数
不知你是不是也有这样的疑惑,我们为什么需要回调函数这个概念呢直接调用函数不就可以了回调函数到底有什么作用程序员到底该如何理解回调函数

2020-11-03 10:32:48

回调函数模块
这篇文章彻底了解Java与RPA
我们通过对RPA简单的了解后,结合实例大概可以看出,RPA的核心即是通过预定义的规则和脚本来按照预定流程执行特定任务,比如想通过浏览器完成相关任务时,我们可以借助类似Selenium这种技术实现,如果要实现其他应用的自动化,同样需要依赖其对外的API,当然并不是所有应用程序都提供了类似可以操作的口径。

2024-01-17 08:18:14

RPAJava技术
SQL注入
今天我们将探讨的是SQL诸如问题,SQL注入是一种攻击方式,在这种攻击方式中,恶意代码被插入到字符串中,然后将该字符串传递到SQLServer的实例以进行分析和执行。

2010-12-20 16:04:30

明白,Android常用组件四大天王
Android架构里定义了4种应用程序,用户的Android应用程序都是由这4种构建组成的,分别是Activity,Service服务,ContentProvider内容提供者,BroadcastReceiver广播接收器。

2014-03-27 15:57:45

Android组件Activity
彻底明白 Session 和 Token
在实际应用中,需要根据具体需求权衡两者之间的选择,并采取相应的安全措施来保障用户身份的安全性和隐私。在不同的业务场景中合理选型,才能达到事半功倍的效果。

2023-12-27 08:16:54

Sessiontoken安全性
聊聊 SQL 中的流程控制,明白了吗?
流程控制是SQL开发中经常需要使用到的,特别是条件判断IF...ELSE,循环执行WHILE是经常使用的,对于想在SQL开发中有所提高的同学,务必要掌握这几个流程控制的用法。

2022-07-27 08:31:28

SQL开发控制
老少皆宜的Kafka长文,明白什么叫本分
看完本文,你将明白为什么一个简单的消息队列,能够有那么多的知识点;能够了解到Kafka的主要功能和应用场景;能够了解到Kafka的主要技术术语。了解到什么叫本分!

2021-01-15 18:28:57

Kafka消息系统
一文明白 Git 分支是如何工作的
分支是Git版本跟踪的核心功能,并且经常被使用相同软件代码库的团队使用。我们将深入研究它们如何在幕后工作,以及如何使用它们来改进Git工作流程。

2022-03-18 09:45:43

Git分支Linux
一文帮你彻底明白ElasticSearch
ESelaticsearch简写,Elasticsearch是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级别的数据。

2019-08-27 14:46:59

ElasticSearES数据库
彻底明白Redis持久化
RDB通过提供特定时间点的数据快照,对于灾难恢复是非常有效的;而AOF则通过记录每个写入操作,提供了更好的数据持久性保证。然而,它们也有各自的局限性,这就需要根据实际需求来权衡选用哪种持久化方式。

2024-02-26 00:00:00

Redis持久化AOF
彻底干掉恶心的SQL注入漏洞, 一网打尽!
正常情况下,用户的输入是作为参数值的,而在SQL注入中,用户的输入是作为SQL指令的一部分,会被数据库进行编译解释执行。

2019-07-24 15:30:00

SQL注入数据库
MYSQL彻底支持中文
系统自带的mysql默认字符集不是gbk,因此给数据库的推广应用以及中文程序的开发带来极大的不便,在没完没了的GBK和UTF8的转换过程中消耗了我们无数的精力以及系统的资源.经过摸索尝试解决了中文支持问题,经验与大家分享一下.

2011-05-16 10:41:43

MYSQL
SQL注入详解
SQLInjection也许很多人都知道或者使用过,如果没有了解或完全没有听过也没有关系,因为接下来我们将介绍SQLInjection。

2017-08-10 10:23:59

20张图彻底掌握负载均衡的秘密!
今天我们来深度解密一下负载均衡器LVS的秘密,相信大家看了你管这破玩意儿叫负载均衡这篇文章后,还是有不少疑问,比如LVS看起来只有类似路由器的转发功能,为啥说它是四层(传输层)负载均衡器呢,今天我们就来逐渐揭开LVS的迷雾,本文将会用图解的方式浅入深地探讨LVS的工作机制。

2021-08-11 22:17:48

负载均衡LVS机制
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服