java程序防止sql注入的方法

转载 2013年01月25日 10:50:07

12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。

第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

  1. String sql= "select* from users where username=?andpassword=?;
  2. PreparedStatement preState= conn.prepareStatement(sql);
  3. preState.setString(1, userName);
  4. preState.setString(2, password);
  5. ResultSet rs= preState.executeQuery();

...

第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

  1. public static String TransactSQLInjection(String str)
  2. {
  3.    return str.replaceAll(".*([';]+|(--)+).*","");
  4. }

  5. userName=TransactSQLInjection(userName);
  6. password=TransactSQLInjection(password);

  7. String sql="select * from users whereusername='"+userName+"' and password='"+password+"' "
  8. Statement sta= conn.createStatement();
  9. ResultSet rs= sta.executeQuery(sql);
评论 (0)  链接 • 2012-10-03

  • 3 票


  •  

1。数据库访问用预定义会话PreparedStatement,从根本上防止SQL截断 
2。后台过滤,简单的验证数据格式/长度正确,至于过滤/转义各种特殊符号由第一步说的来处理;对于那些必须登录后才能操作的,首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作 
3。前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)

我们一般是用java代码和前台js判断两个结合来防止sql注入
java代码这块一般就是PreparedStatement函数,js就是判断页面的输入是否有关键字,然后后台代码部分加一个过滤器,判断每次提交时候的参数里是否有关键字。
 
 
下面顺便提一下hibernate防止SQL注入攻击的方法

永远也不要写这样的代码:

     StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";
     Listresult = session.createQuery(queryString).list();

    如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,

这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。

 

永远也不要把未经检查的用户输入的值直接传给数据库!

幸运的是有一个简单的机制可以避免这种错误:

JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),

如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是preparedstatement,而是用普通的statment不行,我试过)。

另外,如果我们使用参数绑定,还可以提高数据库的执行效率,preparedstatement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。

参数绑定有2种办法:使用positional parameter或者named parameter。

Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用namedparameter的效果一样(查询字符串中使用:)。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like:searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    Listresult = session.createQuery(queryString)
                      .setString("searchString",searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           +"where item.description like :searchString "
                           +"and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString",searchString)
                   .setDate("minDate",minDate)
                  .list();

使用positional parameter

    如果你喜欢,也可以使用positionalparameter:

String queryString = "from Item item "
                           +"where item.description like ? "
                           +"and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0,searchString)
                  .setDate(1,minDate)
                  .list();

这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            +"where item.date > ? "
                           +"and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用namedparameter方式进行参数绑定。

最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like:searchString"
                           +" or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString",searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

 

在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如:

 

[java] viewplaincopy
  1. Date startTime = new Date();  
  2. Date endTime = new Date();  
  3. String queryString = "from SdmsRacalertLog as log where" +  
  4. " log.alertTime between :startTime and :endTime";  
  5. return getHibernateTemplate().find(queryString, startTime, endTime); 

防止SQL注入的五种方法

摘要 防止SQL注入 一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡...
  • yemulan123
  • yemulan123
  • 2016年09月14日 20:27
  • 22888

php网站如何防止sql注入?

网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么   ?      最原始的静态的网站反而是最安全的。今天我们讲讲PHP注入的安全规...
  • u019524703
  • u019524703
  • 2014年11月11日 11:52
  • 1634

JavaWeb开发防止SQL、XSS注入

SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 SQL注...
  • FiangAsDre
  • FiangAsDre
  • 2016年07月11日 12:17
  • 2333

关于java程序SQL注入的解析以及解决方法

SQL注入的解析: SQL注入的解决方法:
  • lvkemitu
  • lvkemitu
  • 2016年06月04日 13:58
  • 409

oracle.9i.java程序设计使用pl_sql和java的解决方法

  • 2009年11月25日 11:46
  • 11.96MB
  • 下载

oracle 9i java程序设计 使用 pl_sql和java的解决方法

  • 2008年09月07日 22:02
  • 11.88MB
  • 下载

防止你的Java程序被反编译的方法

1〉针对windows平台客户 可以考虑使用商用软件如 Excelsior Jet 将你的程序.jar文件转化为一个可执行文件(.exe). This is foolproof: it is ...
  • lzy_168
  • lzy_168
  • 2013年04月08日 17:14
  • 2684

java程序运用JDBC连接sql sever数据库

首先下载JAVA 的JDBC驱动  点击打开链接 完成后直接安装 注:Microsoft JDBC Drivr 4.0 for SQL Server仅支持jdk1.6及以上版本,内部包含两个...
  • weixin_36923729
  • weixin_36923729
  • 2016年12月04日 16:33
  • 464

Java程序中避免使用字符串拼装SQL语句的之解决方案⑴-properties属性文件的使用

场景:Java程序中充斥了大量的SQL语句,繁杂,可读性差且不便维护解决方案:在不使用第三方框架的时候,如何在Java程序中写出可读性高,便于维护的SQL呢?现在提供一个解决方案,即使用propert...
  • xiaoy20618
  • xiaoy20618
  • 2015年11月05日 23:35
  • 1028

Java程序和Oracle数据库调用相同的SQL查询语句,结果却不同

package org.programming.student; import java.sql.*; import java.text.ParseException; import java.te...
  • Elephant05
  • Elephant05
  • 2013年04月19日 14:57
  • 623
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:java程序防止sql注入的方法
举报原因:
原因补充:

(最多只允许输入30个字)