Java代码审计之SQL注入

已于 2022-12-07 20:40:20 修改
阅读量2.3k 收藏 8
点赞数 1
分类专栏: 从入门到入狱 文章标签: java sql 数据库 后端 web安全
于 2022-12-05 23:11:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18980147/article/details/128194970
版权

深入了解Java中的SQL注入

本文以代码实例复现了Java中JDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。

JDBC

首先看第一段代码,使用了远古时期的JDBC并且并没有使用预编译。这种简单的字符串拼接就存在SQL注入

@RequestMapping("/jdbc/vuln")
public String jdbc_sqli_vul(@RequestParam("username") String username) {

    StringBuilder result = new StringBuilder();

    try {
        Class.forName(driver);
        Connection con = DriverManager.getConnection(url, user, password);

        if (!con.isClosed())
            System.out.println("Connect to database successfully.");

        // sqli vuln code
        Statement statement = con.createStatement();
        String sql = "select * from users where username = '" + username + "'";
        logger.info(sql);
        ResultSet rs = statement.executeQuery(sql);

        while (rs.next()) {
            String res_name = rs.getString("username");
            String res_pwd = rs.getString("password");
            String info = String.format("%s: %s\n", res_name, res_pwd);
            result.append(info);
            logger.info(info);
        }
        rs.close();
        con.close();


    } catch (ClassNotFoundException e) {
        logger.error("Sorry,can`t find the Driver!");
    } catch (SQLException e) {
        logger.error(e.toString());
    }
    return result.toString();
}

简单复现下
在这里插入图片描述

再看第二段代码,这段代码也是使用了JDBC但使用了PreparedStatement预编译,这回就避免了SQL注入

@RequestMapping("/jdbc/sec")
    public String jdbc_sqli_sec(@RequestParam("username") String username) {

        StringBuilder result = new StringBuilder();
        try {
            Class.forName(driver);
            Connection con = DriverManager.getConnection(url, user, password);

            if (!con.isClosed())
                System.out.println("Connecting to Database successfully.");

            // fix code
            String sql = "select * from users where username = ?";
            PreparedStatement st = con.prepareStatement(sql);
            st.setString(1, username);

            logger.info(st.toString());  // sql after prepare statement
            ResultSet rs = st.executeQuery();

            while (rs.next()) {
                String res_name = rs.getString("username");
                String res_pwd = rs.getString("password");
                String info = String.format("%s: %s\n", res_name, res_pwd);
                result.append(info);
                logger.info(info);
            }

            rs.close();
            con.close();

        } catch (ClassNotFoundException e) {
            logger.error("Sorry, can`t find the Driver!");
            e.printStackTrace();
        } catch (SQLException e) {
            logger.error(e.toString());
        }
        return result.toString();
    }

但是这种预编译在某些情况并不能使用

like模糊查询

例如在使用like进行模糊查询的时候,我们对第二段代码的sql进行修改

select * from users where username like '%?%'

预编译报错

在这里插入图片描述

order by

在order by的情况中也不能使用预编译,因为会将进行排序的字段名解析为字符串导致无法正常排序

若强行预编译

select * from users order by ?

数据库数据如下

在这里插入图片描述

我想根据username进行排序则需要以下sql

select * from users order by username

成功执行顺序是对的

在这里插入图片描述

但是强行预编译会将sql解析成

select * from users order by 'username'

在这里插入图片描述

排序错误导致失去作用
在这里插入图片描述

in

正常情况下的where in

select * from users where id in (1,2,3)

在这里插入图片描述

若强行预编译

select * from users where id in ?

导致结果报错

select * from users where id in '(1,2,3)'

在这里插入图片描述

mybatis

mybatis与hibernate等框架同样存在这些问题,hibernate现在很少用以mybatis为例

Mapper注解未使用占位符预编译存在SQL注入

 @Select("select * from users where username = '${username}'")
 List<User> findByUserNameVuln01(@Param("username") String username);

在这里插入图片描述

Mapper xml未使用占位符预编译存在SQL注入

<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
	select * from users where username like '%${_parameter}%'
</select>

在这里插入图片描述

Mapper xml在排序时未采用占位符预编译存在SQL注入

<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
	select * from users
	<if test="order != null">
    	order by ${order} asc
	</if>
</select>

在这里插入图片描述

安全的mybatis代码

@Select("select * from users where username = #{username}")
User findByUserName(@Param("username") String username);

<select id="findById" resultMap="User">
	select * from users where id = #{id}
</select>

<select id="OrderByUsername" resultMap="User">
	select * from users order by id asc limit 1
</select>

修复

1.可以的话对参数进行类型转换,数字型注入很少出现大多都是字符串拼接

Interge.valueof()

2.占位符预编译,目前最有效的办法

3.like,order by,where in需要特殊处理

例如:

处理like

select * from user where username like concat('%', ?, '%')

处理order by

可以做白名单处理sql

/**
     * 过滤mybatis中order by不能用#的情况。
     * 严格限制用户输入只能包含<code>a-zA-Z0-9_-.</code>字符。
     *
     * @param sql sql
     * @return 安全sql,否则返回null
     */
private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\\.-]+$");
    public static String sqlFilter(String sql) {
        if (!FILTER_PATTERN.matcher(sql).matches()) {
            return null;
        }
        return sql;
    }

也可以在java层面做映射处理,例如限制用户输入1或2不同数字对应不同的排序

处理in

可以使用Mybatis自带循环指令解决SQL语句动态拼接的问题

select * from users where id in
	<foreach collection="ids" item="item" open="("separator="," close=")">
		#{item} 
	</foreach>

SQL注入排查

可以使用专业的安全扫描工具也可以进行手动排查

关键字:Select、Dao 、from 、delete 、update、insert

tpaer
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA- SQL注入案例(黑马程序员)和避免 超级详细
meini32的博客
08-01 2365
SQL 注入(SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序中执行,从而导致应用程序的安全性受到威胁。通过一段字符串(伪造的sql代码)与真的代码进行拼接使整个 SQL语句的条件判断永远为真,从而绕过了应用程序的身份验证机制,获取了用户的数据。应用程序需要对用户输入的数据进行正确的验证和过滤!-概括:拼字符串导致分不清参数和执行的关键字!PreparedStatement接口。输入正确的用户名和密码=登录成功。
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1332
JAVA代码审计篇-SQL注入
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
2401_83977696的博客
04-29 702
千千万万要记得:多刷题!!多刷题!!之前算法是我的硬伤,后面硬啃了好长一段时间才补回来,算法才是程序员的灵魂!!!!篇幅有限,以下只能截图分享部分的资源!!(1)多线程(这里以多线程为代表,其实整理了一本JAVA核心架构笔记集)(2)刷的算法题(还有左神的算法笔记)(3)面经+真题解析+对应的相关笔记(很全面)(4)视频学习(部分)ps:当你觉得学不进或者累了的时候,视频是个不错的选择在这里,最后只一句话:祝大家offer拿到手软!!0804)]
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3325
Java中的JDBC与Mybatis中的SQL注入简易分析
java】JDBC中的SQL注入问题和解决方案
DreamSun的博客
03-16 870
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以防止sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1269
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
java代码审计sql注入
糖小喵
04-13 917
检查点:数据库查询 前言: 在 Java 中,操作SQL的主要有以下几种方式: java.sql.Statement java.sql.PrepareStatement 使用第三方ORM框架 ——MyBatis或Hibernate 下面我们来分析以上几种执行SQL的方式。 java.sql.Statement java.sql.Stateme...
Java代码审计sql注入基础
m0_55772907的博客
11-10 443
代码审计
JAVA代码审计SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
Java代码审计案例及修复
12-22
Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、安全编码规范、漏洞示例和修复方法等内容。 安全编码规范 在 Java 编程中,安全编码规范是非常重要的,它可以...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
Java代码审计思维导图
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞的漏洞成因,漏洞审计以及漏洞...
JAVA代码审计SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 2738
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
java sql注入例子
nyhyn的专栏
04-14 4854
我着重强调几点:1、默认Statement和PreparedStatement,每次只能执行一条sql,对应mysql可以通过增加url参数&amp;allowMultiQueries=true解决。2、mysql的注释,可以用#、"-- ",多行注释/* */。若使用"-- ",注意后面要有一个空格3、mysql的驱动已经修改为com.mysql.cj.jdbc.Driver,英文意思是之前的已...
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 677
Java模拟SQL注入问题及解决方案
Java防止SQL注入
wl_ldy的专栏
02-03 3464
1. 定义: 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 2. 防止SQL注入的方法: A:使用PreparedStatement代替Statement    1)使用PreparedStatement 比Statement的代码的可读性和可维护性更好.    2)PreparedStatem
Java代码审计SQL注入
大河之犬的博客
12-15 1747
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露。
Java安全编程:防止SQL注入代码审计
"本文主要探讨了Java安全编程中的一个重要话题——代码审计,特别是针对SQL注入漏洞的防范。文章通过两个漏洞示例解释了SQL注入攻击的本质和危害,并提供了相应的审计策略和修复方案。" 在Java编程中,确保代码安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值