sql注入

最新推荐文章于 2023-04-22 12:10:11 发布
最新推荐文章于 2023-04-22 12:10:11 发布
阅读量194 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25376973/article/details/83338707
版权

 

  • SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击

  1. SQL处理框架

需向开发确认是否使用sql处理框架,常用sql处理框架有Mybatis、Hibernate、JDBCTemplate、Dbutils。

  1. Mybatis框架
  1. 简介

MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。

  1. 识别方法

(1)代码中全局搜索mybatis关键字

(2)查看mybatis的jar包

  1. 测试方法

从接口出发,查看业务使用的Mybatis的配置文件是否存在使用“$”符号进行站位的,如果没有使用“$”符号进行站位则不存在SQL注入问题;如果存在使用“$”符号进行站位,则需要查看代码是否对该参数进行过滤和校验。

(1)没有使用“$”符号进行站位

Mybatis配置文件

业务代码使用:

(2)使用“$”符号进行站位

Mybatis配置文件:

业务代码使用:

如上sortField和sortType是直接从外部输入中传进来的,如果不进行校验,则会存在SQL注入问题,例如输入1’ or ‘1’=’1。

  1. 原因

Mybatis本身是基于JDBC封装的。#{para}是预编译处理(PreparedStatement)范畴的。${para}是字符串替换。Mybatis在处理#时,会调用PreparedStatement的set系列方法来赋值;处理$时,就是把${para}替换成变量的值。使用#{para}可以有效的防止SQL注入,提高系统安全性。

  1. Hibernate框架
  1. 简介

Hibernate是一个基于jdbc的开源的持久化框架,是一个优秀的ORM实现,它很大程度的简化了dao层编码工作。Hibernate对JDBC访问数据库的代码做了封装,大大简化了数据访问层繁琐的重复性代码。
在分层结构中处于持久化层,封装对数据库的访问细节,使业务逻辑层更专注于实现业务逻辑。

  1. 识别方法

(1)全局搜索hibernate

(2)查看hibernate的jar包

  1. 测试方法

从接口出发,查看业务使用的Hibernate的配置文件是否使用:param的形式指定参数,如果不是则存在SQL注入问题。

Hibernate框架的sql语句处理有两种方式,一种是类似mybatis将sql语句放置于配置文件(一般文件时*sqlmap*.xml)中,在代码中通过name或者id关联SQL语句。

还有一种方式就是直接在代码中拼接SQL语句

(2)错误示例

上述代码是一段Hibernate数据库查询语句,HQL转换成SQL通过PrepareStatement接口调用数据库查询,但如果在动态构建HQL查询时包含不可信输入,则存在SQL注入问题,上述代码其实相当于:“select * from MOMLinkPort where momlinkId = ‘” + linkid + “’”,正确的使用是queryString.append(:linkid)。

  1. JDBCTemplate框架
  1. 简介

为了使 JDBC 更加易于使用,Spring 在 JDBCAPI 上定义了一个抽象层, 以此建立一个JDBC存取框架,JDBCTemplate是Spring对jdbc的封装,但sql还是得自己写。

  1. 识别方法

查看项目有没有引用spring-jdbc的jar包或者全局搜索关键字:org.springframework.jdbc.core.JdbcTemplate

  1. 测试方法

如果业务使用了JDBCTemplate,则需要检查每个SQL处理的地方,是否使用“?”对参数进行站位,如果使用“?”进行站位了,则不存在SQL注入问题,如果没有使用“?”,而是直接拼接外部参数则存在SQL注入问题。

正确示例:

如上对参数使用“?”进行站位,jdbctemplate在进行SQL处理的时候会自动进行预编译,如果没有使用“?”进行站位,拼接外部输入参数,则会按照拼接的参数进行预编译,会导致恶意输入改变原有SQL语义,导致SQL注入问题。

错误示例:

上述sql语句存在外部拼接username,存在SQL注入问题,需要对username进行参数校验。

  1. Dbutils框架
  1. 简介

DbUtils库是一套小巧的用来简化 JDBC 调用的库。JDB源代码库单调且易出错,所以DBUtils 类抽象出所有简单的任务,让你更专注于使用JDBC做Query和Update的工作。

DbUtils的优势:

在使用JDBC访问数据库是,有大量重复的代码(注册驱动,获取连接,访问数据库,处理结果集,释放资源等)DbUtils抽象并封装了这些操作,方便开发人员DAO操作。

  1. 识别方法

使用的jar包:

commons-dbutils-1.3.jar

 

  1. 测试方法
 

PreparedStatement 可以避免SQL注入攻击
 

Sql注入原理:
 

 

一个注入的例子:
 

 

  1. 预编译 
  
    1. 简介
 

如果业务代码没有使用任何SQL处理框架,则在进行SQL处理时需要对SQL进行预编译处理,否则存在SQL注入问题。
 

  1.  
  
    1.  测试方法
 

查SQL语句是否使用“?”进行站位,然后使用prepareStatement方法进行统一预编译处理,先预编译处理再执行SQL,这样可以保证没有SQL注入问题。
 

正确示例:
 

 
 

 

注意,在prepareStatement进行预编译前需要对SQL语句参数使用“?”进行站位,否则会导致SQL语义已经被拼接的外部参数改变,再进行预编译已经没有意义了,如下错误示例所示:
 

 


                

        

        

    




    

      

        

            

              
                
                  (???????)??
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
【spring】jdbcTemplate之sql参数注入

				
			

			

				

					weixin_30741653的博客
				

				

					12-11
					
					625
					
				

			

		

		

			
				
demo @Repository("jdbcDao")
public class JdbcTemplateDao {
    @Autowired
    private JdbcTemplate jdbcTemplate;
    @Autowired
    private NamedParameterJdbcTemplate namedTemplate;
    private ...

			
		

	



                

              
                



	

		

			

				
					
MySQL SQL 注入

				
			

			

				

					weixin_34272308的博客
				

				

					06-12
					
					147
					
				

			

		

		

			
				
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。
本博文将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用...

			
		

	



                


  
              

                


	

		

			

				
					
路径+DataRow+SqlPara防止sql注入

				
			

			

				

					weixin_30663471的博客
				

				

					12-29
					
					49
					
				

			

		

		

			
				
绝对路径:是从盘符开始的路径,形如C:\windows\system32\cmd.exe相对路径:是从当前路径开始的路径,假如当前路径为C:\windows要描述上述路径,只需输入system32\cmd.exe实际上,严格的相对路径写法应为.\system32\cmd.exe其中,.表示当前路径,在通道情况下可以省略,只有在特殊的情况下不能省略。
Session 的用法是什么?简单说就是...

			
		

	





	

		

			

				
					
SQL注入

				
			

			

				

					dhzbkj的博客
				

				

					06-03
					
					150
					
				

			

		

		

			
				
SQL 注入是用户利用某些系统没有对输入数据 进行充分检查,从而进行恶意破坏的行为。    *    statement在在sql注入攻击问题,例如登录用户名采用‘or 1=1 or username=’;    *    对于防范SQL注入,可以采用PreparedStatement取代Statement.Statment和PreparedStatement的区别:    1.    Prepa...

			
		

	



		

			
		



	

		

			

				
					
pangolinsdl—sql注入工具

				
			

			

				

					06-20
				

			

		

		

			
				
**SQL注入工具——PangolinsDL详解**  SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...

			
		

	





	

		

			

				
					
SQL 注入天书.pdf

				
			

			

				

					08-06
				

			

		

		

			
				
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...

			
		

	





	

		

			

				
					
sql注入攻击流量情况

				
			

			

				

					07-18
				

			

		

		

			
				
sql注入攻击流量情况

			
		

	





	

		

			

				
					
sql注入网站源码

				
			

			

				

					04-09
				

			

		

		

			
				
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...

			
		

	





	

		

			

				
					
sql注入讲解ppt.pptx

				
			

			

				

					08-10
				

			

		

		

			
				
SQL 注入基础知识点总结  SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...

			
		

	





	

		

			

				
					
西贝水瘦个人收藏:三步堵死SQL注入漏洞

				
			

			

				

					05-29
				

			

		

		

			
				
许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。
本文从原理着手,阐述了只需“三招”堵住SQL注入漏洞的方法。

			
		

	





	

		

			

				
					
使用JdbcTemplate解决SQL注入问题

					
最新发布

				
			

			

				

					m0_74582314的博客
				

				

					04-22
					
					1383
					
				

			

		

		

			
				
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。

			
		

	





	

		

			

				
					
DButils-------对jdbc进行封装的工具类和对SQL注入的解决

				
			

			

				

					My_liuying0901
				

				

					05-06
					
					778
					
				

			

		

		

			
				
直接将封装的方法抽取到工具类中

为了更加便于使用,将之前封装jdbc增删改(update)查(query)的方法抽取到一个工具类DButil中,如果想要使用增删改查的功能,就可以直接通过DBUtil这个工具类来调用。代码如下


import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet...

			
		

	





	

		

			

				
					
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法

				
			

			

				

					老徐的博客只有干货
				

				

					03-15
					
					3135
					
				

			

		

		

			
				
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。

			
		

	





	

		

			

				
					
JDBC-防止SQL注入

				
			

			

				

					m0_63144452的博客
				

				

					10-25
					
					963
					
				

			

		

		

			
				
1、什么是sql注入。----->sql拼接安全问题。

由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响

而Statement存在sql注入的问题:因为他的sql字符串拼接。

2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。

PreparedStatement利用预编译的机制将sql语句的主干

			
		

	





	

		

			

				
					
java安全(二):JDBC|sql注入|预编译

				
			

			

				

					weixin_45694388的博客
				

				

					11-14
					
					6166
					
				

			

		

		

			
				
1 JDBC基础
JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。
2 JDBCConnection
2.1连接
Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive

			
		

	





	

		

			

				
					
sql注入学习第一篇---基础

				
			

			

				

					qq_36874480的博客
				

				

					07-03
					
					247
					
				

			

		

		

			
				
SQL注入原理

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,
通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;
后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。 基于此,SQL注入的产生原因通常表现在以下几方面:
①不当的类型处理; ②不安全的数据库配

			
		

	





	

		

			

				
					
JdbcTemplate防止sql注入攻击的源码解析

				
			

			

				

					阿呆的专栏
				

				

					09-04
					
					9891
					
				

			

		

		

			
				
概述
使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。
会发生sql注入的查询
query(String sql, RowMapper<T> rowMapper)
源码解析
	@Override
	public <T> List<T> q...

			
		

	





	

		

			

				
					
JDBCTemplate

				
			

			

				

					阿正的梦工坊
				

				

					07-06
					
					420
					
				

			

		

		

			
				
java的数据库连接模板JDBCTemplate

			
		

	





	

		

			

				
					
SQL注入攻击技术详解

				
			

			

				

					
				

			

		

		

			
				
"SQL注入实战教程,涵盖ACCESS、MySQL、SQL SERVER和ORACLE的注入技巧,由讲师闵海钊讲解,内容包括注入点检测、表名和列名的猜解、长度判断等。"  SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值