【Web安全与防御】简析Sql注入与防御措施

最新推荐文章于 2024-06-12 14:19:02 发布
最新推荐文章于 2024-06-12 14:19:02 发布
阅读量562 收藏
点赞数
分类专栏: springmvc+mybatis项目实战 文章标签: springmvc+mybatis项目实 项目实战 sql注入 服务器

引言

最近由于在CSDN上看到许多有关SQL注入问题的文章,以前因为是小白,重在学编程技术上,并没有在程序安全防护上大费周章。但是由于学习的路途越走越远,包括前段时间理工大教务处主页被黑(我同学也在网络工作室负责维护),让我深深的感受到,在Web应用上线之后,除了应付“高并发”之类的效率性问题之外,安全性问题也是非常重要的。俗话说的好,“不防君子防小人”,有些了解技术的“小人”们,可能处于娱乐或者是其它目的来hack网站,所以,一般的前台信息过滤只能防“君子”(为了提交的时候减轻后台的负担),对小人们来说,前台的信息过滤形同虚设,他们会利用各种手段(JavaScript、Ajax等)来更改前台与后台页面信息,甚至偷Cookie来达到掌控全局的目的。


我也是最近去了解Sql注入的,总结了部分经验供大家分享。

首先,什么是Sql注入呢?英文名称为SqlInject把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令(度娘说的)。

概念说的再好不如去实践一下,接下来咱们就看看什么是Sql注入,Sql注入的方式有哪些?

(下面使用的是JavaWeb技术,不过不影响大家看,因为和平台关系不大)


一.sql注入方式

我们日常访问的路径,如:http://www.example.com/,这个是一个正常的页面请求语句,没有涉及到任何动态请求数据库的动作,所以这种情况下是不会有SQL注入的。像http://www.example.com?userid=1这个URL请求,其中包含了一个Key-Value对(学过Web的这里就不多费口舌了),那么我们通过这个URL语句可以向数据库发送userid的数据,从而进行“增删改查”。也就是说"?"后面的数据是和数据库打交道的,那么在"?"后面跟的信息就有可能会被加入恶意的SQL语句。

我们做测试的数据库为Mysql,数据库名为user,表名users,其中的字段如下:

我储存了一些测试数据,如下:

我们有一个根据ID来查询用户信息的Dao层方法(这里id用String是为了模拟涵盖类似UUID那种类型的id),

[java]  view plain copy
  1.   @Override  
  2. ublic User getUserById(String userid) {  
  3. User u=new User();  
  4.   
  5. Connection conn = null;  
  6. Statement st = null;  
  7. ResultSet rs = null;  
  8.   
  9. try  
  10. {  
  11.     conn = DBOperator.getConnection();  
  12.     String sql = "select * from users where userid="+userid;  
  13.     st = conn.createStatement();  
  14.     rs = st.executeQuery(sql);  
  15.     if(rs.next())  
  16.     {  
  17.         u.setUserid(rs.getInt("userid"));  
  18.         u.setName(rs.getString("name"));  
  19.         u.setSex(rs.getString("sex"));  
  20.         u.setAge(rs.getString("age"));  
  21.           
  22.     }  
  23.       
  24. }catch(Exception ex)  
  25. {  
  26.     ex.printStackTrace();  
  27.       
  28. }finally  
  29. {  
  30.     DBOperator.close(rs, st, conn);  
  31.       
  32. }  
  33.   
  34. return u;  

然后是执行这个Dao层方法并返回信息给网页的Servlet:

[java]  view plain copy
  1.  package cn.edu.hpu.sqlinject.servlet;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.ServletException;  
  6. import javax.servlet.http.HttpServlet;  
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletResponse;  
  9.   
  10. import cn.edu.hpu.sqlinject.dao.UserManager;  
  11. import cn.edu.hpu.sqlinject.dao.UserManagerImpl;  
  12. import cn.edu.hpu.sqlinject.domain.User;  
  13.   
  14. public class GetUser extends HttpServlet {  
  15.   
  16.     public void doGet(HttpServletRequest request, HttpServletResponse response)  
  17.             throws ServletException, IOException {  
  18.         doPost(request,response);  
  19.     }  
  20.   
  21.     public void doPost(HttpServletRequest request, HttpServletResponse response)  
  22.             throws ServletException, IOException {  
  23.           
  24.         request.setCharacterEncoding("utf-8");  
  25.         response.setCharacterEncoding("utf-8");  
  26.         response.setContentType("text/html;charset=UTF-8");  
  27.           
  28.         String userid=(String)request.getParameter("userid");  
  29.           
  30.         UserManager um=new UserManagerImpl();  
  31.         User u=um.getUserById(userid);  
  32.           
  33.         if(u!=null){  
  34.             request.setAttribute("u", u);  
  35.             request.getRequestDispatcher("/index.jsp").forward(request, response);  
  36.         }else{  
  37.             response.sendRedirect("error.jsp");  
  38.         }  
  39.           
  40.     }  
  41.   
  42. }  

之后我们访问这个路径,我们就得到了userid=2的用户的数据


很显然,我们的SQL语句是:

[sql]  view plain copy
  1. select *   
  2. from users   
  3. where userid=#{userid}  

如果我们在where这里加上一句“ or 1=1”,这样的话,where条件就变为永真(where (userid=#{id} or 1=1)),这个时候我们的sql语句就会变为:

[sql]  view plain copy
  1. select *   
  2. from users  
那么我们就会把所有的users表中的数据都取出来。

所以,当我们输入这样的URL:http://localhost/SqlInjectTest/GetUser?userid=2 or 1=1

这个时候我们的SQL语句就变成了这样:

[sql]  view plain copy
  1. select *   
  2. from users   
  3. where userid=#{userid} or 1=1  
然后很明显,我们的where已经失效了,这个时候我们取出的结果是什么样子呢?

结果是:


得到的不是id为2的用户,而是id为1的用户!!!

为什么?因为我们是取出所有的用户,但是我们在Dao方法中只接受了一个结果集,并把这个结果集封装给一个User对象带到最终的网页上去,所以我们这里只得到所有数据的第一条。


虽然刚刚不是什么惊天大Bug,但是足以让网站乱了套。如果你使用了SpringMVC框架,接收的参数是一个字符串类型(Serializable[] ids),反馈的结果的是List<User>集合,那么恭喜你,黑客会黑出你所有的用户信息:

通过一个简单的sql注入获取一些简单的信息,获取user用户信息并没有太大的价值,那么如果我们知道user信息的表名,是不是就可以利用它进行“增删查修”了?没有错,确实可以做到,但是前提是我们需要知道这个网站的数据库表名是什么。


我们可以对它来进行推测,使用试错法,试验几次。 我们先来试验它是什么类型的数据库,我们先推测一个数据库的表名,然后写一个sql语句,看看它会会不会有错,然后通过不断尝试来获取数据库真实的表名。

这里面我们假设表的名字就叫user,我们访问这么一个URL:

http://localhost/SqlInjectTest/GetUser?userid=2 or 1=(select count(*) from user)

访问后的界面如下:


我们前面的数据没有查出来,说明数据库在解析sql语句的时候出了错,最终没有输出数据(有些后台还会报错,通过错误前缀代码还可以推测是什么数据库)。说明我们推测的表名是错误的。

假设这个网站的设计者很随意,他设计的表名很简单,就是users。那么,当我们利用暴力测试之后知道它的表名是users的时候,我在URL路径后面注入各种“增删改查”的sql语句,那就会十分的危险。


二.防止sql注入的几种方法

(1)PreparedStatement
始终以PreparedStatement代替Statement

采用JDBC的预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
使用好处:
(1).代码的可读性和可维护性.
(2).PreparedStatement尽最大可能提高性能.
(3).最重要的一点是极大地提高了安全性.
原理:
sql注入只对sql语句的准备(编译)过程有破坏作用
而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,
而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

PreparedStatement需要服务器端的支持来提高效率。比如在Oracle上就会有显著效果,而MySQL上select时不支持PreparedStatement(亲测)。


(2)过滤sql语句保留字

使用正则表达式来过滤一些sql关键字,如or、where等

[java]  view plain copy
  1. package cn.edu.hpu.sqlinject.test;  
  2.   
  3. public class MatchTest {  
  4.     private static String textsql= "'|and|exec|insert|select|delete|update|count|*|%" +  
  5.             "|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  6.       
  7.     public static void main(String[] args) {  
  8.         String content="userid=2 or 1=1";  
  9.         boolean flag=false;  
  10.           
  11.         String[] filter= textsql.split("\\|");  
  12.           
  13.         for(int i=0; i<filter.length;i++) {  
  14.             System.out.println(filter[i]);  
  15.             content=content.replace(filter[i], "");  
  16.         }  
  17.            
  18.         System.out.println("过滤之后:"+content);  
  19.     }  
  20. }  
同时也可以通过这种方式来使用关键字检查sql是否有注入:

[java]  view plain copy
  1. <span style="font-size:12px;">package cn.edu.hpu.sqlinject.test;  
  2.   
  3. public class MatchTest {  
  4.     private static String textsql= "'|and|exec|insert|select|delete|update|count|*|%" +  
  5.     "|chr|mid|master|truncate|char|declare|; |or|-|+|,";  
  6.   
  7.     public static void main(String[] args) {  
  8.         String content="userid=2 or 1=1";  
  9.         boolean flag=false;  
  10.           
  11.         String[] filter= textsql.split("\\|");  
  12.           
  13.         for(int i=0; i<filter.length;i++) {  
  14.             flag=content.contains(filter[i]);  
  15.             if(!flag){  
  16.                 break;  
  17.             }  
  18.         }  
  19.           
  20.         if(flag){  
  21.             System.out.println("正常");  
  22.         }else{  
  23.             System.out.println("包含敏感字符");  
  24.         }  
  25.           
  26.     }  
  27. }</span><span style="font-size:18px;">  
  28. </span>  


(3)正则表达式检查sql

大致方法:

[java]  view plain copy
  1. String textsql="^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$";  
  2.           
  3. boolean flag=content.matches(textsql);  

具体的正则表达式:
检测SQL meta-characters的正则表达式 :/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix
修正检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻击的正则表达式 :/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
检测SQL注入,UNION查询关键字的正则表达式 :/((\%27)|(\’))union/ix(\%27)|(\’)
检测MS SQL Server SQL注入攻击的正则表达式:/exec(\s|\+)+(s|x)p\w+/ix
等等…..


(4)其它

还有其它的方式,只要保证传入的参数仅仅是数值而包含sql关键字等信息,或者在执行sql前将参数格式化等等措施,都可以防止sql注入。


月轩居士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈SQL注入防御手段
0verWatch的博客
08-02 4842
sql语句预编译 例如: String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery(); 这里采用了PreparedStatement,就会...
159.SQL注入的实现和防御措施
zjy123078_zjy的博客
02-22 248
sql注入: 所谓sql注入,就是通过把sql命令插入到表单中或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的sql命令。具体来说,它是利用现有的应用程序,将(恶意的)sql命令注入到后台数据库引擎执行的能力,它也可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者的意图去执行sql语句。比如先前的很多影视网站泄露VIP会员密码大多数就是通过We...
web开发中防止SQL注入
diaoding3046的博客
11-21 360
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输入用...
Web中防SQL注入
xiaodongry8的专栏
05-25 167
在Global的文件下: Application_BeginRequest中添加如下代码: foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.Request.Form[i].ToString()//处理里面的值 } //遍历Get参数。 ...
信息系统安全实验之Web服务器防SQL注入安全加固实验
7xun's space
04-18 550
(4)对于安全性要求比较高的信息系统,可以考虑用新兴的身份认证方式代替传统的口令登录方式,比如使用生物特征:指纹、人脸、虹膜等,这些生物特征是具有高度唯一性的,因而比一般的口令登录认证安全得多。(2)可以根据实际情况,将系统的登录口令以某种安全的加密算法保存在数据库中,比如MD5,SHA256,SM3等。可以知道,id后面跟的只能是数字,那么现在可以找到代码中关于 ry_id 可以获取变量的地方,发现对ry_id对类型限制被注释了,导致SQLMap可以借此漏洞进行注入
简析单片机与嵌入式系统异同
01-20
单片机与嵌入式系统都是计算机技术在特定应用场景中的应用,它们在很多方面有所交叉,但也有明显的差异。单片机,全称单片微型计算机,是将计算机的主要组成部分,如CPU、内存、I/O接口等,集成在一个芯片上的微型...
Web3.0概念下的场景生态简析.pdf
04-14
Web3.0概念下的场景生态简析是指下一代互联网的发展方向,旨在解决用户与用户之间的信息互动、提升信息的传递效率、实现信息交互过程中的“可信”与“沉浸”。Web3.0概念的技术基础、驱动力、核心特点等都表明了Web...
简析LED与智能化照明系统
01-19
随着人们的物质与精神生活水准的提高,用户对照明的要求也早就走出了为了照明而照明的区域。除节能外,越来越多的人还想方设法利用灯光营造出和谐、静謐、温馨的起居环境,于是智慧照明应运而生。灯光是营造气氛的...
基于SDN技术的DDoS防御系统简析.pdf
03-23
### 基于SDN技术的DDoS防御系统简析 #### 一、引言 随着互联网技术的飞速发展及广泛应用,网络安全问题日益凸显,其中分布式拒绝服务(DDoS)攻击尤为突出。DDoS攻击不仅能够导致目标系统的服务中断,还可能带来...
sql注入攻击与防御第二版
10-16
sql注入攻击与防御第二版
WEB安全(十四)如何防止SQL注入
jinyangjie的博客
02-17 2346
一、什么是SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 例如在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,这类表单特别容易受到SQL注入式攻击。 还有mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候需要防止sql注入。 二、SQL注入的例子 登录页面,输入账号密码验证登录,后台SQL简化(为演示方便,去掉密码的加密过程): SELECT * FROM
如何防止常见的Web应用程序安全漏洞(如SQL注入、跨站脚本攻击等)?
wangnanofspirit的博客
05-12 648
防止常见的Web应用程序安全漏洞,如SQL注入和跨站脚本攻击(XSS),是确保Web应用程序安全性的重要方面。
Web项目防止SQL注入的四种方案
林立鹏的博客
11-21 340
Web项目防止SQL注入的四种方案
DVWA系列之6 SQL注入漏洞的挖掘与防御
weixin_34262482的博客
12-07 341
下面我们来查看high级别的SQL注入源码。可以看到除了之前的mysql_real_escape_string()函数之外,在它前面还多加了一个stripslashes()函数,这个函数的作用是删除由 addslashes() 函数添加的反斜杠,也就是去除addslashes()函数的转义。这里为什么要有这个操作呢?这是由于在high级别下,PHP的magic_quotes_gpc被自动设为on,...
SQL注入攻击原理与防御措施
一只猿的自我修养
04-30 3858
原理: 所谓SQL注入,就是通过把SQL命令伪装成正常的HTTP请求参数传递到服务端,款骗服务器最终执行恶意的SQL命令,达到入侵目的。攻击者可以利用SQL注入漏洞,查询非授权信息,修改数据库服务器的数据,改变表结构,甚至是获取服务器root权限。总而言之,SQL注入漏洞的危害极大,攻击者采用的SQL指令决定了攻击的威力。目前涉及的大批量数据泄露的攻击事件,大部分都是通过SQL注入来实施的。 示例: 假设某个存在漏洞的网站登录页需要输入用户名和密码,后台接收到参数后是直接拼接SQL查数据库,如:
SQL注入攻击:原理、案例分析与防御策略
最新发布
m0_61532714的博客
06-12 1948
多层次的综合防御策略,包括参数化查询、输入验证、输出编码和数据库权限控制,是防范SQL注入攻击的关键。攻击者通过构造恶意的SQL语句,利用应用程序对用户输入的处理漏洞,对数据库进行未授权的操作。SQL注入攻击可以导致数据泄露、数据篡改甚至是数据库服务器的完全控制。SQL注入攻击的核心在于应用程序对用户输入缺乏有效的验证和过滤,使得恶意的SQL代码得以执行。使用参数化查询(Prepared Statements)可以有效防止SQL注入攻击,因为参数化查询将用户输入作为参数处理,而不是直接拼接到SQL语句中。
对一套WAF防护规则(正则表达式)的整理和分析。
07-07 2789
//此套WAF防护正则表达式规则来源于ShareWAF(http://www.sharewaf.com/)//测试方法建议:请依下方测试使用的test语句进行,根据true、false,可知是否能识别出***并记录到数据库var regexp_debug = 0;exports.anti_sqlinj_rule =[ // /select|update|delete|t...
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
热门推荐
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
Go语言入门:环境配置与Web服务器简析
"用户访问Web之后服务器端打印的信息-imt-2020 (5g)推进组:5g无人机应用白皮书" 在探讨Web服务器的工作原理时,我们可以看到【标题】提到了“用户访问Web之后服务器端打印的信息”,这通常涉及到HTTP服务器的响应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值