Java Web 防范 SQL 注入攻击

最新推荐文章于 2021-02-16 10:37:21 发布
最新推荐文章于 2021-02-16 10:37:21 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: 杂谈 文章标签: java web sql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JerryBurning/article/details/47755085
版权

1、SQL注入概述:

  SQL 注入是从正常的 WWW 端口访问,而且表面看起来跟一般的 Web 页面访问没什么区别,所以目前市面的防火墙都不会对 SQL 注入发出警报,如果管理员没查看日志的习惯,可能被入侵很长时间都不会发觉。
  其实 SQL 注入主要还是一些程序员的水平及经验参差不齐,没有对用户输入数据的合法性进行判断。 使应用程序存在安全隐患,任何用户可以提交一段数据库查询代码,并根据程序返回的结果,获得某些他想得知的数据,造成用户可以在输入中包含恶意代码篡改程序功能。更严重的用户还可能窃取最高管理权限,删除数据库中所有的数据。

2、SQL注入原理:

2.1 没有过滤,或没有正确过滤转义字符:

首先来看一个Sql语句:

String sql = "SELECT * FROM USERINFO WHERE NAME = '+" NAME "+'";
Class.forName("oracle.jdbc.driver.OracleDriver");
Connection con = DriverManager.getConnection(dbUrl,dbUserName,dbPassword);
Statement state =con.createStatement();
ResultSet resultSet = state.executeQuery(sql);

这里我们直接使用用户传递过来的 name 变量拼接了一条SQL 语句进行查询。 我们乐观地认为用户输入的都是正常的字符串,没有考虑到恶意攻击的情况。 但是如果用户输入了这样一段内容:String name = ” xxx’or’1’=’1”
那么 ,经过拼接得到的 SQL 就变成了这样。String sql = “SELECT * FROM USERINFO WHERE NAME = ‘xxx’or’1’=’1’”,将会查询得到所用的用户信息。

String name = ” xxx’or’1’=’1’;DROPTABLE USERINFO” 而sql语句如果变成这样,那么String sql = ”select * from USERINFO where name =’xxx’ or ‘1’ =’1’;DROPTABLE USERINFO “将会清掉整个表的记录。那么后果可想而知。

2.2、数据库服务器中的漏洞:
许多程序员认为, jsp 结合 mysql 是一个不错的选择,其主要原因是这两种技术都可以找到免费的载体。 但是有时,数据库服务器软件中也存在着漏洞 。 如 MYSQL 服务器中DATABASE () 、 USER () 、 SYSTEM_USER () 、 SESSION_US -ER ()、 CURRENT_USER () 等函数漏洞。 这种漏洞允许一个攻击者根据错误的统一字符编码执行一次成功的 SQL 注入式攻击。

2.3、盲目 SQL 注入式攻击:
当一个 Web 应用程序易于遭受攻击而其结果对攻击者却不见时,就会发生所谓的盲目 SQL 注入式攻击。 有漏洞的网页会根据注入到合法语句中的逻辑语句的结果显示不同的内容。 这种攻击相当耗时,因为必须为每一个获得的字节而精心构造一个新的语句。通过一次次的分析得到的这些结果获取想要的信息。

3 Java Web 下的解决方法:
3.1、利用 Javascript,在客户端进行校验:
通过以上分析我们看到,对于 SQL 注入其实就是利用一些特殊符号实现对数据库的操作。 所以可以利用 JavaScript 对输入的字符进行过滤。
例如:/select|update|delete|exec|count|’|” |=|;|>|<|%/i一些特殊字符和 SQL 关键字。

3.2、在后台,进行程序判定:
但是 JavaScript 有其自身的一些缺陷,因为它是运行在浏览器客户端的一种技术 。 当这个网页保存下来,进行修改页面以跳过这些过虑提交后, JavaScript 就失去作用了 。 所以最好在后台也对这些字符串进行处理 。有良好的编程习惯:

比如判断用户名和密码的时候不要只用:select * from user where username = ? and password =?,然后判断 select 出的结果为 size>0 。 这个方法容易被注入 。

应该用:select password from user where username = ? ,然后用select 出来的 password 和他提交上来的 password 对比一下是否一致 。 所以,如果要预防注入, 就必须要整体设计 、 养成良编程习惯。

3.3、使用 PreparedStatement 连接数据库:
为了解决这个问题,我们可以使用 PreparedStatement 。首先在创建 PreparedStatement 的时候会对sql 进行一次了处理,然后传递参数的时候,没有直接把参数拼接到sql里,采用占位符并且参数中有什么特殊字符, PreparedStatement 也会帮助自动转换 。总之,在使用PreparedStatement 执行查询的时候已经对sql进行了严格的处理,可以防止sql注入。

3.4、利用框架:
当今在 Java Web 领域,比较流行的是使用诸如 Spring、hibernate 等框架来防范风险 。

SupWTian
关注
专栏目录
javaSQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
JavaWebSQL注入的方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发中如何防范SQL注入的方法,以及使用ORM框架Hibernate防范SQL注入的方法。
Java防止SQL注入
三千弱水的专栏
09-23 4092
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
JAVA 基础之SQL注入防范
RAVEEE的博客
07-12 275
  javasql注入漏洞 以及如何防范 所谓SQL注入,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力 首先创建一个数据库工具类 package zr; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import...
java-sql注入攻击
weixin_30312563的博客
01-04 233
注射式攻击的原理 SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向...
Java Web防范SQL注入攻击.pdf
09-19
Java Web防范SQL注入攻击Java Web平台因其跨平台性和"一次编写,到处运行"的特性,被广泛应用在各种web应用程序开发中。然而,如果不妥善处理用户输入,就可能为SQL注入攻击提供机会。以下是一些Java Web环境中...
SQL注入攻击原理分析及JavaWeb环境下的防范措施.pdf
07-23
本文在分析了SQL 注入原理的基础上,提出了几点Java Web 环境下防范措施。   随着Ineternet 技术的迅猛发展,为了能更充分地使用互联网这个世界上最大的交流平台,许多单位或个人纷纷建立自己的网站。但是...
java web Xss及sql注入过滤器.zip
04-22
防范SQL注入,应避免直接使用用户输入的数据构造SQL语句,而应使用参数化查询或预编译语句。在Spring Boot中,可以利用JdbcTemplate或者NamedParameterJdbcTemplate来安全地执行SQL操作,它们会自动处理SQL注入...
防范Java中的SQL注入:策略与实践
最新发布
08-30
SQL注入是一种常见的Web应用安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码,从而对数据库进行未授权的访问或操作。由于Java广泛用于企业级Web应用的开发,因此了解如何在Java中识别和防护SQL...
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
JAVA中防止SQL注入攻击类的源代码
04-26
JAVA中防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
java web中防止sql注入
王百林的博客
12-22 2042
//取得本次请求request中的参数 Map paramMap = request.getParameterMap(); //参数key Set keySet = paramMap.keySet(); for (String key : keySet) { //参数value String[] paramValue = paramMap.get(key); for (String
java filter 防止sql注入攻击
专注
07-12 2924
原理,过滤所有请求中含有非法的字符,例如:, & 某个网站的登入验证的SQL查询代码为       strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');" 恶意填入       userName = "' OR '1'='1"
java web 防止sql注入攻击_如何测试WEB应用程序防止SQL注入攻击
weixin_39641103的博客
02-16 201
摘要:在WEB应用程序的软件测试中,安全测试是非常重要的一部分,但常常容易被忽视掉。在安全测试中,防止SQL注入攻击尤其重要。本文介绍了SQL注入攻击产生的后果以及如何进行测试。关键字:安全测试 SQL 注入攻击 防火墙正文:WEB应用程序的安全测试,防止SQL注入攻击,下面举一些简单的例子加以解释。——Inder P Singh。许多应用程序运用了某一类型的数据库。测试下的应用程序有一个接受用户...
java--SQL注入攻击
grey_mouse的博客
12-28 422
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
Oracle开发人员防范SQL注入攻击指南
"Oracle开发人员SQL注入攻击入门教程" 这篇文档详细介绍了Oracle开发人员需要知道的关于SQL注入攻击的相关知识,旨在提高对这种攻击形式的认识并提供防御策略。以下是主要的知识点: 1、**SQL注入概述** SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值