如何避免SQL注入

最新推荐文章于 2023-03-21 20:53:58 发布
最新推荐文章于 2023-03-21 20:53:58 发布
阅读量368 收藏
点赞数
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongbeiou/article/details/107791714
版权

简介

文章主要内容包括:

  • Java 持久层技术/框架简单介绍

  • 不同场景/框架下易导致 SQL 注入的写法

  • 如何避免和修复 SQL 注入

JDBC

介绍

  • 全称 Java Database Connectivity

  • 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent )

  • 所有 Java 持久层技术都基于 JDBC

说明

直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那么很有可能会产生注入,如

// concat sql

String
 sql = 
"SELECT * FROM users WHERE name ='"
+ name + 
"'"
;

Statement
 stmt = connection.createStatement();

ResultSet
 rs = stmt.executeQuery(sql);

安全的写法是使用 参数化查询 ( parameterized queries ),即 SQL 语句中使用参数绑定( ? 占位符 ) 和 PreparedStatement,如

// use ? to bind variables String sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement
 ps = connection.prepareStatement(sql);
// 参数 index 从 1 开始
ps.setString(1, name);

还有一些情况,比如 order by、column name,不能使用参数绑定,此时需要手工过滤,如通常 order by 的字段名是有限的,因此可以使用白名单的方式来限制参数值

这里需要注意的是,使用了 PreparedStatement 并不意味着不会产生注入,如果在使用 PreparedStatement之前,存在拼接 sql 语句,那么仍然会导致注入,如

// 拼接 sql

String  sql = "SELECT * FROM users WHERE name ='"+ name + "'";
PreparedStatement ps = connection.prepareStatement(sql);

看到这里,大家肯定会好奇 PreparedStatement 是如何防止 SQL 注入的,来了解一下

正常情况下,用户的输入是作为参数值的,而在 SQL 注入中,用户的输入是作为 SQL 指令的一部分,会被数据库进行编译/解释执行。

当使用了 PreparedStatement,带占位符 ( ? ) 的 sql 语句只会被编译一次,之后执行只是将占位符替换为用户输入,并不会再次编译/解释,因此从根本上防止了 SQL 注入问题。

Mybatis

介绍

  • 首个 class persistence framework

  • 介于 JDBC (raw SQL) 和 Hibernate (ORM)

  • 简化绝大部分 JDBC 代码、手工设置参数和获取结果

  • 灵活,使用者能够完全控制 SQL,支持高级映射

更多请参考: http://www.mybatis.org

说明

在 MyBatis 中,使用 XML 文件 或 Annotation 来进行配置和映射,将 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records。

XML 例子

Mapper Interface

@Mapperpublic interface UserMapper {   User getById(int id);}

XML 配置文件

<select id="getById" resultType="org.example.User">   SELECT * FROM user WHERE id = #{id}</select>

Annotation 例子

@Mapperpublic interface UserMapper {   
@Select("SELECT * FROM user WHERE id= #{id}")   
User getById(@Param("id") int id);}

可以看到,使用者需要自己编写 SQL 语句,因此当使用不当时,会导致注入问题与使用 JDBC 不同的是,MyBatis 使用 #{}${} 来进行参数值替换。

使用 #{} 语法时,MyBatis 会自动生成 PreparedStatement ,使用参数绑定 ( ?) 的方式来设置值,上述两个例子等价的 JDBC 查询代码如下:​​​​​​​

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1, id);

因此 #{} 可以有效防止 SQL 注入,详细可参考 http://www.mybatis.org/mybatis-3/sqlmap-xml.html String Substitution 部分。

而使用 ${} 语法时,MyBatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 SQL 注入,如​​​​​​​

<select id="getByName" resultType="org.example.User">   
SELECT * FROM user WHERE name = '${name}' limit 1
</select>

name 值为 ' or '1'='1,实际执行的语句为

SELECT * FROM user WHERE name = '' or '1'='1' limit 1

因此建议尽量使用 #{},但有些时候,如 order by 语句,使用 #{} 会导致出错,如

ORDER BY #{sortBy}

sortBy 参数值为 name ,替换后会成为

ORDER BY "name"

即以字符串 “name” 来排序,而非按照 name 字段排序

详细可参考: https://stackoverflow.com/a/32996866/6467552

这种情况就需要使用 ${}

ORDER BY ${sortBy}

使用了 ${}后,使用者需要自行过滤输入,方法有:

代码层使用白名单的方式,限制 sortBy 允许的值,如只能为 name, email 字段,异常情况则设置为默认值 name

在 XML 配置文件中,使用 if 标签来进行判断

Mapper 接口方法

List<User> getUserListSortBy(@Param("sortBy") String sortBy);

xml 配置文件​​​​​​​

<select id="getUserListSortBy" resultType="org.example.User"> 
SELECT * FROM user 
<if test="sortBy == 'name' or sortBy == 'email'">   
order by ${sortBy} 
</if>
</select>

因为 Mybatis 不支持 else,需要默认值的情况,可以使用 choose(when,otherwise)​​​​​​​

<select id="getUserListSortBy" resultType="org.example.User"> 
SELECT * FROM user 
<choose>   
<when test="sortBy == 'name' or sortBy == 'email'">     
order by ${sortBy}   
</when>   
<otherwise>     
order by name   
</otherwise>    
</choose>
</select>

更多场景

除了 orderby之外,还有一些可能会使用到 ${} 情况,可以使用其他方法避免,如

like 语句

  • 如需要使用通配符 ( wildcard characters % 和 _) ,可以

  • 在代码层,在参数值两边加上 %,然后再使用 #{}

  • 使用 bind 标签来构造新参数,然后再使用 #{}

Mapper 接口方法

List<User> getUserListLike(@Param("name") String name);

xml 配置文件​​​​​​​

<select id="getUserListLike" resultType="org.example.User">   
<bind name="pattern" value="'%' + name + '%'" />   
SELECT * FROM user   WHERE name LIKE 
#{pattern}
</select>

<bind> 语句内的 value 为 OGNL expression

具体可参考 :

http://www.mybatis.org/mybatis-3/dynamic-sql.html 

bind 部分使用 SQL concat() 函数​​​​​​​

<select id="getUserListLikeConcat" resultType="org.example.User">   
SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%')
</select>

除了注入问题之外,这里还需要对用户的输入进行过滤,不允许有通配符,否则在表中数据量较多的时候,假设用户输入为 %%,会进行全表模糊查询,严重情况下可导致 DOS

参考:

 http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe

IN 条件

  • 使用 <foreach> 和 #{}

  • Mapper 接口方法

List<User> getUserListIn(@Param("nameList") List<String> nameList);

xml 配置文件​​​​​​​

<select id="selectUserIn" resultType="com.example.User"> 
SELECT * FROM user WHERE name in 
<foreach item="name" collection="nameList"           
open="(" separator="," close=")">       
#{name} </foreach></select>

具体可参考 

http://www.mybatis.org/mybatis-3/dynamic-sql.html 

foreach 部分

limit 语句

  • 直接使用 #{} 即可

  • Mapper 接口方法

List<User> getUserListLimit(@Param("offset") int offset, @Param("limit") int limit);

xml 配置文件​​​​​​​

<select id="getUserListLimit" resultType="org.example.User">   
    SELECT * FROM user limit #{offset}, #{limit}
</select>

JPA & Hibernate

介绍

JPA:

  • 全称 Java Persistence API

  • ORM (object-relational mapping) 持久层 API,需要有具体的实现

更多请参考:

https://en.wikipedia.org/wiki/JavaPersistenceAPI

Hibernate:

  • JPA ORM 实现

更多请参考 http://hibernate.org。

说明

这里有一种错误的认识,使用了 ORM 框架,就不会有 SQL 注入。而实际上,在 Hibernate 中,支持 HQL (Hibernate Query Language) 和 native sql 查询,前者存在 HQL 注入,后者和之前 JDBC 存在相同的注入问题,来具体看一下。

HQL

HQL 查询例子​​​​​​​

Query<User> query = session.createQuery("from User where name = '" + name + "'", User.class);
User user = query.getSingleResult();

这里的 User 为类名,和原生 SQL 类似,拼接会导致注入。

正确的用法:

  • 位置参数 (Positional parameter) 

Query<User> query = session.createQuery("from User where name = ?", User.class);
query.setParameter(0, name);

  • 命名参数 (named parameter)

Query<User> query = session.createQuery("from User where name = :name", User.class);
query.setParameter("name", name);

  • 命名参数 list (named parameter list)

Query<User> query = session.createQuery("from User where name in (:nameList)", User.class);
query.setParameterList("nameList", Arrays.asList("lisi", "zhaowu"));

  • 类实例 (JavaBean)
     

    User user = new User();
user.setName("zhaowu");
Query<User> query = session.createQuery("from User where name = :name", User.class);
// User 类需要有 getName() 方法query.setProperties(user);

    Native SQL

存在 SQL 注入​​​​​​​

String sql = "select * from user where name = '" + name + "'";
// deprecated// Query query = session.createSQLQuery(sql);
Query query = session.createNativeQuery(sql);

使用参数绑定来设置参数值​​​​​​​

String sql = "select * from user where name = :name";
// deprecated
// Query query = session.createSQLQuery(sql);
Query
 query = session.createNativeQuery(sql);
query.setParameter(
"name"
, name

 

小鱼儿511
关注
如何有效的防止SQL连接字符串注入
hwy00的专栏
11-06 1228
 概念:在编写安全代码时,最重要的规则之一就是“绝对不要盲目的相信用户的输入”。利用ADO.NET 2.0的SqlConnectionStringBuilder类生成数据库连接字符串,它可以有效的防止“SQL连接字符串恶意注入”,因为这个类是专门为SQL SERVER设计的所以;它兼容旧式关键字。关于如何使用SqlConnectionStringBuilder类,请参考我以前写的一篇“智能数据
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2536
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
如何防止sql恶意注入
m0_72345017的博客
09-13 1273
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
程序中一种用in的sql防注入的方法(小技巧)
weixin_30853329的博客
03-09 396
实际就是拼一个动态的静态参数,随便一写,别挑语法,呵呵 strings = "'2'OR 1=1 --'"; int i = 10; SqlParameter[] parameters = new SqlParameter[i]; for (int j = 0; j < i; j++) ...
mysql中如何防止sql注入_MySQL如何防止SQL注入
weixin_35796461的博客
01-19 277
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用来...
防止SQL注入
Joe_1993的博客
03-24 95
不采用SQL拼接,而采用SQL语句的预编译(prepare)和查询参数绑定功能。 #{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 第二种避免SQL注入攻击的方式:存储过程。存储过程...
避免sql注入_动力节点Java学院整理
08-29
避免SQL注入的方法总结 SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中嵌入恶意SQL代码来攻击数据库。为了避免SQL注入,需要从多方面入手,包括权限控制、参数化语句、输入验证、数据库安全参数...
Hibernate使用中防止SQL注入的几种方案
01-20
在使用Hibernate进行数据库操作时,虽然它提供了便捷的ORM(对象关系映射)功能,但同时也需要关注SQL注入的安全问题。SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁...
图书馆网站如何避免SQL注入攻击.pdf
09-19
图书馆网站如何避免SQL注入攻击.pdf
Php中用PDO查询Mysql避免SQL注入风险的方法
01-20
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而...
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
怎么防止SQL注入
。。。。
03-21 7201
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
如何防止sql注入
weixin_41770160的博客
06-20 142
sql注入
正则校验windows和linux路径
weixin_43173924的博客
09-07 1015
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
【SQL】sql注入风险修复方法
qq_34335450的博客
06-13 3465
一、MyBaties中#{}和${}的区别 '#'相当于对数据 加上 双引号,$相当于直接显示数据。 我们经常使用的是#{},一般解说是因为这种方式可以防止SQL注入,简单的说#{}这种方式SQL语句是经过预编译的,它是把#{}中间的参数转义成字符串,举例: select * from table_A where name = #{name} 预编译后,会动态解析成一个参数标记符?: select * from table_A where name = ? 而使用${}在动态解析时候,会传入参数字符串
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入的 mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
sql注入和如何防止
chao0508的博客
05-21 196
在这里和大家说一个技术  pdo技术  PDO就是PHP data Object 提供了PHP操作多种数据库的统一的接口 和MySQL的不同就是 pdo可以操作多种数据库  MySQL就能操作一个 PDO是PHP5新加入的一个重大功能,我们的数据库服务器为MySQL,所有的程序代码的数据库操作全是一mysql()或者mysqli()函数来操作,当我们的数据库 需要更换时比如换成,SQL、SERVE...
sql 拼接 防止注入
包子大叔的笔记
10-18 1790
[code="java"] 1 尽量用统一替换,好处很多 //创建insert语句 private List GetInsertSqlFromListPA_SD(List list) { List sqlList = new List(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product...
sql转义避免sql注入
最新发布
06-10
为了避免 SQL 注入攻击,我们可以使用 SQL 转义来确保 SQL 查询语句中的特殊字符被正确地处理而不会被解释为 SQL 代码。 具体而言,我们可以使用以下方法进行 SQL 转义: 1. 使用预处理语句:使用预处理语句可以防止 SQL 注入攻击,因为它可以在将用户输入添加到 SQL 查询语句之前对其进行转义和验证。 2. 使用参数化查询:使用参数化查询可以让我们将用户输入作为查询参数传递,而不是将它们直接插入 SQL 查询语句中。 3. 对特殊字符进行转义:对于 SQL 查询语句中的特殊字符,如单引号和双引号等,我们可以使用转义符进行转义,例如将单引号替换为两个单引号。 总之,为了避免 SQL 注入攻击,我们应该始终使用预处理语句或参数化查询,并对 SQL 查询语句中的特殊字符进行转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值