如何有效防止SQL注入攻击

数据库 其他数据库
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。

SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。

[[336617]]

一 背景

假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信息及完成情况,具体设计如下:

 

数据如下:

 

本系统采用mysql做为数据库,使用Jdbc来进行数据库的相关操作。系统提供了一个功能查询该学生的课程完成情况,代码如下。

  1. @RestController 
  2. public class Controller { 
  3.  
  4.     @Autowired 
  5.     SqlInject sqlInject; 
  6.  
  7.     @GetMapping("list"
  8.     public List<Course> courseList(@RequestParam("studentId") String studentId){ 
  9.         List<Course> orders = sqlInject.orderList(studentId); 
  10.         return orders; 
  11.     } 
  12. @Service 
  13. public class SqlInject { 
  14.  
  15.     @Autowired 
  16.     private JdbcTemplate jdbcTemplate; 
  17.  
  18.     public List<Course> orderList(String studentId){ 
  19.         String sql = "select id,course_id,student_id,status from course where student_id = "+ studentId; 
  20.         return jdbcTemplate.query(sql,new BeanPropertyRowMapper(Course.class)); 
  21.     } 

二 注入攻击演示

1. 正常情况下查询一个学生所选课程及完成情况只需要传入student_id,便可以查到相关数据。

 

根据响应结果,我们很快便能写出对应的sql,如下:

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 

2. 如果我们想要获取这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。

  1. select id,course_id,student_id,status  
  2. from course  
  3. where student_id = 4 or 1 = 1  

请求接口的时候将studendId 设置为4 or 1 = 1,这样这条sql的where条件就恒真了。sql也就等同于下面这样

  1. select id,course_id,student_id,status  
  2. from course  

请求结果如下,我们拿到了这张表的所有数据

 

3. 查询mysql版本号,使用union拼接sql

  1. union select 1,1,database(),1 

 

4. 查询数据库名

union select 1,1,database(),1

 

 

5. 查询mysql当前用户的所有库

union select 1,1, (SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) schemaName,1

 

看完上面这些演示后,你害怕了吗?你所有的数据配置都完全暴露出来了,除此之外,还可以完成很多操作,更新数据、删库、删表等等。

三 如何防止sql注入

1. 代码层防止sql注入攻击的最佳方案就是sql预编译

  1. public List<Course> orderList(String studentId){ 
  2.     String sql = "select id,course_id,student_id,status from course where student_id = ?"
  3.     return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class)); 

这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。

2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储

3. 规定数据长度,能在一定程度上防止sql注入

4. 严格限制数据库权限,能最大程度减少sql注入的危害

5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

6. 过滤参数中含有的一些数据库关键词

  1. @Component 
  2. public class SqlInjectionFilter implements Filter { 
  3.     @Override 
  4.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { 
  5.         HttpServletRequest req=(HttpServletRequest)servletRequest; 
  6.         HttpServletRequest res=(HttpServletRequest)servletResponse; 
  7.         //获得所有请求参数名 
  8.         Enumeration params = req.getParameterNames(); 
  9.         String sql = ""
  10.         while (params.hasMoreElements()) { 
  11.             // 得到参数名 
  12.             String name = params.nextElement().toString(); 
  13.             // 得到参数对应值 
  14.             String[] value = req.getParameterValues(name); 
  15.             for (int i = 0; i < value.length; i++) { 
  16.                 sql = sql + value[i]; 
  17.             } 
  18.         } 
  19.         if (sqlValidate(sql)) { 
  20.             throw new IOException("您发送请求中的参数中含有非法字符"); 
  21.         } else { 
  22.             chain.doFilter(servletRequest,servletResponse); 
  23.         } 
  24.     } 
  25.  
  26.     /** 
  27.      * 关键词校验 
  28.      * @param str 
  29.      * @return 
  30.      */ 
  31.     protected static boolean sqlValidate(String str) { 
  32.         // 统一转为小写 
  33.         str = str.toLowerCase(); 
  34.         // 过滤掉的sql关键字,可以手动添加 
  35.         String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + 
  36.                 "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + 
  37.                 "table|from|grant|use|group_concat|column_name|" + 
  38.                 "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + 
  39.                 "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#"
  40.         String[] badStrs = badStr.split("\\|"); 
  41.         for (int i = 0; i < badStrs.length; i++) { 
  42.             if (str.indexOf(badStrs[i]) >= 0) { 
  43.                 return true
  44.             } 
  45.         } 
  46.         return false
  47.     } 

本文转载自微信公众号「 Java旅途」,可以通过以下二维码关注。转载本文请联系 Java旅途公众号。

 

责任编辑:武晓燕 来源: Java旅途
相关推荐

2009-02-04 16:51:48

2009-03-10 08:05:19

2013-02-22 15:41:47

2013-04-26 11:26:00

2020-09-28 09:30:13

mybatis

2009-09-23 10:43:22

2019-02-22 09:00:00

2023-03-10 19:36:47

2010-10-09 10:50:34

2009-11-12 14:56:47

2009-03-14 16:50:38

网站安全meter程序

2019-12-20 16:24:13

网络安全黑客技术

2009-07-24 16:59:57

iBatis模糊查询

2010-09-30 12:53:10

2010-10-22 15:18:18

SQL注入漏洞

2011-10-19 10:47:56

2013-01-05 13:49:00

2011-12-30 11:04:14

2014-05-26 09:32:15

2010-09-20 11:22:08

点赞
收藏

51CTO技术栈公众号