jsp工程防止外部注入_防止 jsp被sql注入

一、SQL注入簡介

SQL注入是比較常見的網絡攻擊方式之一，它不是利用操作系統的BUG來實現攻擊，而是針對程序員編程時的疏忽，通過SQL語句，實現無帳號登錄，甚至篡改數據庫。

二、SQL注入攻擊的總體思路

1.尋找到SQL注入的位置

2.判斷服務器類型和后台數據庫類型

3.針對不通的服務器和數據庫特點進行SQL注入攻擊

三、SQL注入攻擊實例

比如在一個登錄界面，要求輸入用戶名和密碼：

可以這樣輸入實現免帳號登錄：

用戶名： ‘or 1 = 1 –

密 碼：

點登陸,如若沒有做特殊處理,那么這個非法用戶就很得意的登陸進去了.(當然現在的有些語言的數據庫API已經處理了這些問題)

這是為什么呢? 下面我們分析一下：

從理論上說，后台認證程序中會有如下的SQL語句：

String sql = "select * from user_table where username=

' "+userName+" ' and password=' "+password+" '";

當輸入了上面的用戶名和密碼，上面的SQL語句變成：

SELECT * FROM user_table WHERE username=

'’or 1 = 1 -- and password='’

分析SQL語句：

條件后面username=”or 1=1 用戶名等於 ” 或1=1 那么這個條件一定會成功；

然后后面加兩個-，這意味着注釋，它將后面的語句注釋，讓他們不起作用，這樣語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

這還是比較溫柔的，如果是執行

SELECT * FROM user_table WHERE

username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知…

為了防止SQL注入，最簡潔的辦法是杜絕SQL拼接，SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯，如果使用PreparedStatement來代替Statement來執行SQL語句，其后只是輸入參數，SQL注入攻擊手段將無效，這是因為PreparedStatement不允許在不同的插入時間改變查詢的邏輯結構，大部分的SQL注入已經擋住了，在WEB層我們可以過濾用戶的輸入來防止SQL注入比如用Filter來過濾全局的表單參數。import java.io.IOException;import java.util.Iterator;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;/*** 通過Filter過濾器來防SQL注入攻擊**/public class SQLFilter implements Filter {private String inj_str = “‘|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|; |or|-|+|,”;protected FilterConfig filterConfig = null;/*** Should a character encoding specified by the client be ignored?*/protected boolean ignore = true;public void init(FilterConfig config) throws ServletException {this.filterConfig = config;this.inj_str = filterConfig.getInitParameter(“keywords”)；}public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {HttpServletRequest req = (HttpServletRequest)request;HttpServletResponse res = (HttpServletResponse)response;Iterator values = req.getParameterMap()。values()。iterator()；//獲取所有的表單參數while(values.hasNext()){String[] value = (String[])values.next()；for(int i = 0;i < value.length;i++){if(sql_inj(value)){//TODO這里發現sql注入代碼的業務邏輯代碼Return;}}}chain.doFilter(request, response)；}public boolean sql_inj(String str){String[] inj_stra=inj_str.split(“\\|”)；for (int i=0 ; i < inj_stra.length ; i++ ){if (str.indexOf(“ ”+inj_stra+“ ”)>=0){return true;}}return false;}}也可以單獨在需要防范SQL注入的JavaBean的字段上過濾：/*** 防止sql注入** @param sql* @return*/public static String TransactSQLInjection(String sql) {return sql.replaceAll(“.*([';]+|(--)+)。*”, “ ”)；}