1.什么是SQL注入?
“SQL注入”是一种利用未过滤/未审核的用户输入进行SQL攻击的行为,意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。
例子:网站登陆时的SQL查询代码为:strSQL = "SELECT * FROM users WHERE (name = '" + username + "') and (pw = '"+ password +"');"填入万能密码userName = "' OR '1'='1";passWord = "' OR '1'='1";这个时候SQL字符串就变成:strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');" 简化一下,也就是SQL命令变成这样:strSQL = "SELECT * FROM users;" 这样就可以达到没有帐号密码也可以登陆了。
测试表:(在my_test数据库中)
create table users (
id int not null,
name varchar(128) not null,
pw varchar(128) not null
);
2.SQL注入的思路与方式?
总体思路:
1.寻找到SQL注入的位置
2.判断服务器类型和后台数据库类型
3.针对不通的服务器和数据库特点进行SQL注入攻击
注入方式:
2.1替换参数,改变条件绕过检查
例子:用户名密码登录 (第一节中的万能用户密码例子)
2.2终止原SQL,执行非法注入SQL获取数据库信息
例子:strSQL = "SELECT * FROM users WHERE (name = '" + username + "') and (pw = '"+ password +"')
用户名填入userName = "' ;select * from users; -- ";
拼接后字符串:strSQL = "SELECT * FROM users WHERE (name = '' ;select * from users; -- ') and (pw = '"+ password +"')
通过上述的方式,真实执行了select * from users;
2.3注入错误SQL,刺探异常信息
例子:strSQL = "SELECT * FROM users WHERE (name = '" + username + "') and (pw = '"+ password +"')
①用户名填入userName = "'"; passWord = "' group by user_name -- ";
使用user_name字段时,系统报错信息为没有此列
②用户名填入userName = "'"; passWord = "' group by name -- ";
使用name字段时,我们猜对了其中的一个字段名,系统报错信息中会显示出一些关于数据库和表的信息。
3.防止SQL注入?
3.1使用PreparedStatement
3.2对传入的参数进行过滤
采用正则表达式的方式对输入的参数进行合法性检查,过滤掉不合法的或者存在SQL注入风险的输入。该种方法对如电话号码、邮箱合法性检查等比较有效,但是对于输入用户名、密码、大量文本等参数的检查有效性不是太理想。因为对于像select/delete/use/insert/drop等关键字的检查不一定能说明其实非法输入。
对单引号等特殊字符进行转义,单引号变为两个单引号。这种字符转义与上面的合法性检查一样不能完全有效,因为单引号除了可以写成‘'’的形式,还可以用ASCII码%27或%60这种方式表示。所以,参数过滤只适用于一些比较简单的合法性检查、转义等情况。
3.3包装SQL异常
将抛出的SQL异常进行封装,不要将具体的出错信息暴露给用户。窥探者不能从SQL异常信息中获取到任何关于数据库的有效信息。
3.4重要信息加密
对用户的登录密码等重要信息进行加密处理,最好使用单向密码加密算法(如MD5、SHA1、PBKDF2等),即使数据泄露,最关键的“用户密码”仍然可以得到有效的保护。
3.5设置数据库访问及修改限制
永远不要使用root用户名和密码进行生产环境的数据库连接操作;
对于特定的功能,分别创建不同权限的用户连接和操作数据库,限制普通用户对系统表的访问和操作;