如何防止sql注入?介紹5種防止sql注入的方法

一、sql注入簡介

??? SQL注入是比較常見的網絡攻擊方式之一,它不是利用操作系統的BUG來實現攻擊,而是針對程序員編程時的疏忽,通過SQL語句,實現無帳號登錄,甚至篡改數據庫。

二、SQL注入攻擊的總體思路

1.尋找到SQL注入的位置

2.判斷服務器類型和后臺數據庫類型

3.針對不通的服務器和數據庫特點進行SQL注入攻擊

三、SQL注入攻擊實例

比如在一個登錄界面,要求輸入用戶名和密碼:

可以這樣輸入實現免帳號登錄:

用戶名: ‘or 1 = 1 –

密 碼:

點登陸,如若沒有做特殊處理,那么這個非法用戶就很得意的登陸進去了.(當然現在的有些語言的數據庫編程已經處理了這些問題)

這是為什么呢? 下面我們分析一下:

從理論上說,后臺認證程序中會有如下的SQL語句:

String?sql?=?"select?*?from?user_table?where?username=  '?"+userName+"?'?and?password='?"+password+"?'";

當輸入了上面的用戶名和密碼,上面的SQL語句變成:

SELECT?*?FROM?user_table?WHERE?username=  '’or?1?=?1?--?and?password='’

分析SQL語句:

條件后面username=”or 1=1 用戶名等于 ” 或1=1 那么這個條件一定會成功;

然后后面加兩個-,這意味著編程,它將后面的語句注釋,讓他們不起作用,這樣語句永遠都能正確執行,用戶輕易騙過系統,獲取合法身份。

這還是比較溫柔的,如果是執行

SELECT?*?FROM?user_table?WHERE  username=''?;DROP?DATABASE?(DB?Name)?--'?and?password=''

….其后果可想而知…?

四、應對方法

下面我針對JSP,說一下應對方法:

1.(簡單又有效的方法)PreparedStatement

采用預編譯語句集,它內置了處理SQL注入的能力,只要使用它的setXXX方法傳值即可。

使用好處:

(1).代碼的可讀性和可維護性.

(2).PreparedStatement盡最大可能提高性能.

(3).最重要的一點是極大地提高了編程性.

原理:

sql注入只對sql語句的準備(編譯)過程有破壞作用

而PreparedStatement已經準備好了,執行階段只是把輸入串作為數據處理,

而不再對sql語句進行解析,準備,因此也就避免了sql注入問題.?

2.使用編程過濾傳入的參數

要引入的包:

import?java.util.regex.*;

正則表達式

private?String?CHECKSQL?=?“^(.+)sands(.+)|(.+)sor(.+)s$”;

判斷是否匹配:

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式:

檢測SQL meta-characters的正則表達式 :

/(%27)|(’)|(--)|(%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 :

/((%3D)|(=))[^ ]*((%27)|(’)|(--)|(%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 :

/w*((%27)|(’))((%6F)|o|(%4F))((%72)|r|(%52))/ix

檢測SQL注入,編程關鍵字的正則表達式

:/((%27)|(’))union/ix(%27)|(’)

檢測MS SQL Server SQL注入攻擊的正則表達式:

/exec(s|+)+(s|x)pw+/ix

等等…..

3.編程過濾

比較通用的一個方法:

(||之間的參數可以根據自己程序的需要添加)

public?static?boolean?sql_inj(String?str){  String?inj_str?=?"'|and|exec|insert|select|delete|update|  count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";  String?inj_stra[]?=?split(inj_str,"|");  for?(int?i=0?;?i?=0){  return?true;  }  }  return?false;  }

4.jsp中調用該編程檢查是否包函非法字符

防止SQL從URL注入:

sql_inj.java代碼:

package?sql_inj;  import?java.net.*;  import?java.io.*;  import?java.sql.*;  import?java.text.*;  import?java.lang.String;  public?class?sql_inj{  public?static?boolean?sql_inj(String?str){  String?inj_str?=?"'|and|exec|insert|select|delete|update|  count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

//這里的東西還可以自己添加

String[]?inj_stra=inj_str.split("|");  for?(int?i=0?;?i?=0){  return?true;  }  }  return?false;  }  }

5.JSP頁面判斷代碼:

編程在客戶端進行不安全字符屏蔽

功能介紹:檢查是否含有”‘”,””,”/”

參數說明:要檢查的字符串

返回值:0:是1:不是

函數名是

function?check(a){  return?1;  fibdn?=?new?Array?(”‘”?,””,”/”);  i=fibdn.length;  j=a.length;  for?(ii=0;?ii<i;?ii++)  {?for?(jj=0;?jj<j;?jj++)  {?temp1=a.charAt(jj);  temp2=fibdn[ii];  if?(tem’;?p1==temp2)  {?return?0;?}  }  }  return?1;  }

===================================

總的說來,防范一般的SQL注入只要在編程上下點功夫就可以了。

凡涉及到執行的SQL中有編程時,用JDBC(或者其他數據持久層)提供的如:PreparedStatement就可以 ,切記不要用拼接字符串的方法就可以了。

【相關推薦】

1.?特別推薦編程

2.?編程

3.?編程

4.?編程

? 版權聲明
THE END
喜歡就支持一下吧
點贊15 分享