如何有效防止SQL注入攻击

数据库 其他数据库
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。

SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。

[[336617]]

一 背景

假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信息及完成情况,具体设计如下:

 

数据如下:

 

本系统采用mysql做为数据库,使用Jdbc来进行数据库的相关操作。系统提供了一个功能查询该学生的课程完成情况,代码如下。

@RestController 
public class Controller { 
 
    @Autowired 
    SqlInject sqlInject; 
 
    @GetMapping("list"
    public List<Course> courseList(@RequestParam("studentId") String studentId){ 
        List<Course> orders = sqlInject.orderList(studentId); 
        return orders; 
    } 

@Service 
public class SqlInject { 
 
    @Autowired 
    private JdbcTemplate jdbcTemplate; 
 
    public List<Course> orderList(String studentId){ 
        String sql = "select id,course_id,student_id,status from course where student_id = "+ studentId; 
        return jdbcTemplate.query(sql,new BeanPropertyRowMapper(Course.class)); 
    } 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.

二 注入攻击演示

1. 正常情况下查询一个学生所选课程及完成情况只需要传入student_id,便可以查到相关数据。

 

根据响应结果,我们很快便能写出对应的sql,如下:

select id,course_id,student_id,status  
from course  
where student_id = 4 
  • 1.
  • 2.
  • 3.

2. 如果我们想要获取这张表的所有数据,只需要保证上面这个sql的where条件恒真就可以了。

select id,course_id,student_id,status  
from course  
where student_id = 4 or 1 = 1  
  • 1.
  • 2.
  • 3.

请求接口的时候将studendId 设置为4 or 1 = 1,这样这条sql的where条件就恒真了。sql也就等同于下面这样

select id,course_id,student_id,status  
from course  
  • 1.
  • 2.

请求结果如下,我们拿到了这张表的所有数据

 

3. 查询mysql版本号,使用union拼接sql

union select 1,1,database(),1 
  • 1.

 

4. 查询数据库名

union select 1,1,database(),1

 

 

5. 查询mysql当前用户的所有库

union select 1,1, (SELECT GROUP_CONCAT(schema_name) FROM information_schema.schemata) schemaName,1

 

看完上面这些演示后,你害怕了吗?你所有的数据配置都完全暴露出来了,除此之外,还可以完成很多操作,更新数据、删库、删表等等。

三 如何防止sql注入

1. 代码层防止sql注入攻击的最佳方案就是sql预编译

public List<Course> orderList(String studentId){ 
    String sql = "select id,course_id,student_id,status from course where student_id = ?"
    return jdbcTemplate.query(sql,new Object[]{studentId},new BeanPropertyRowMapper(Course.class)); 

  • 1.
  • 2.
  • 3.
  • 4.

这样我们传进来的参数 4 or 1 = 1就会被当作是一个student_id,所以就不会出现sql注入了。

2. 确认每种数据的类型,比如是数字,数据库则必须使用int类型来存储

3. 规定数据长度,能在一定程度上防止sql注入

4. 严格限制数据库权限,能最大程度减少sql注入的危害

5. 避免直接响应一些sql异常信息,sql发生异常后,自定义异常进行响应

6. 过滤参数中含有的一些数据库关键词

@Component 
public class SqlInjectionFilter implements Filter { 
    @Override 
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException { 
        HttpServletRequest req=(HttpServletRequest)servletRequest; 
        HttpServletRequest res=(HttpServletRequest)servletResponse; 
        //获得所有请求参数名 
        Enumeration params = req.getParameterNames(); 
        String sql = ""
        while (params.hasMoreElements()) { 
            // 得到参数名 
            String name = params.nextElement().toString(); 
            // 得到参数对应值 
            String[] value = req.getParameterValues(name); 
            for (int i = 0; i < value.length; i++) { 
                sql = sql + value[i]; 
            } 
        } 
        if (sqlValidate(sql)) { 
            throw new IOException("您发送请求中的参数中含有非法字符"); 
        } else { 
            chain.doFilter(servletRequest,servletResponse); 
        } 
    } 
 
    /** 
     * 关键词校验 
     * @param str 
     * @return 
     */ 
    protected static boolean sqlValidate(String str) { 
        // 统一转为小写 
        str = str.toLowerCase(); 
        // 过滤掉的sql关键字,可以手动添加 
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" + 
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" + 
                "table|from|grant|use|group_concat|column_name|" + 
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" + 
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#"
        String[] badStrs = badStr.split("\\|"); 
        for (int i = 0; i < badStrs.length; i++) { 
            if (str.indexOf(badStrs[i]) >= 0) { 
                return true
            } 
        } 
        return false
    } 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.

本文转载自微信公众号「 Java旅途」,可以通过以下二维码关注。转载本文请联系 Java旅途公众号。

 

责任编辑:武晓燕 来源: Java旅途
相关推荐

2009-02-04 16:51:48

2009-03-10 08:05:19

2013-02-22 15:41:47

2013-04-26 11:26:00

2020-09-28 09:30:13

mybatis

2009-09-23 10:43:22

2019-02-22 09:00:00

2023-03-10 19:36:47

2010-10-09 10:50:34

2009-11-12 14:56:47

2019-12-20 16:24:13

网络安全黑客技术

2009-03-14 16:50:38

网站安全meter程序

2009-07-24 16:59:57

iBatis模糊查询

2010-09-30 12:53:10

2010-10-22 15:18:18

SQL注入漏洞

2011-10-19 10:47:56

2013-01-05 13:49:00

2018-12-26 08:09:21

勒索软件攻击病毒

2014-05-26 09:32:15

2011-12-30 11:04:14

点赞
收藏

51CTO技术栈公众号