stmt如何获取完整sql_浅谈在JDBC下对SQL注射的防御

最新推荐文章于 2021-12-13 15:27:47 发布
最新推荐文章于 2021-12-13 15:27:47 发布
阅读量123 收藏
点赞数
文章标签: stmt如何获取完整sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39543655/article/details/111371486
版权

#网络安全在我身边#

题记:今天给大家分享的是网络安全相关技术:在JDBC下对SQL注射的防御

什么是SQL注入

详见文章:

安界:入坑解读 | 什么是SQL注入?

JDBC下对SQL注射的防御

关于我的理解,则会将其总结为一句话:“被动态拼接执行的SQL语句中包含了不可信任的数据。”
什么是动态拼接?看看下面这条SQL语句:

select * from "+param_table+" where name='"+param_name+"'";

看到语句中的‘+’号了么,这意味着param_table和param_name并不是写死在语句中的,而我可以对其进行传参从而达到我的某些目的。那么假如我有student表:

5f9659e3e740e7863f3cc0ea4ea075de.png

teacher表:

ba186820887fc42ded7bb60658df80b3.png

我想从中查询hacker的信息那么将有如下代码:

String param_table = "student";String param_name = "hacker";Statement stmt = conn.createStatement();ResultSet rs =  stmt.executeQuery("select * from "+param_table+" where name='"+param_name+"'");while(rs.next()) {     out.println(rs.getString(1)+"/"+                 rs.getString(2)+"/"+                 rs.getString(3));            }

于是构成了这样一条语句:

select * from student where name='hacker';

这样就可以查询到hacker的信息:

fa4ac32a435008275a080c198c1a14fb.png

但是如果我将hacker修改为hacker’ or 1=1#:String param_name = “hacker’ or 1=1#”;则student表中所有数据被dump出来:

0ae2b56b179c9b8555c48d7f819a4d44.png

接着也可以将student修改为student union select * from teacher,于是连同teacher表的数据也被dump出来:

b8cd7c4899bf309a80c8a2e9f475bafe.png

那该如何防护?这是重点,我以前挖SQL注入的时候,仅仅是给厂商提供了这样的建议,但对于厂商来说可能只是极其模糊的概念:

bd13a28f8aa2ad5607a6aa38144fe953.png

接下来我介绍几种在JDBC下对SQL注入的防御方式:

1.预编译:这里用到PreparedStatement类进行预编译,那么将有如下代码:

String param_table = "student";String param_name = "hacker";String stmt = "select * from ? where name= ?";PreparedStatement ps = conn.prepareStatement(stmt);ps.setString(1,param_table);ps.setString(2,param_name);ResultSet rs =  ps.executeQuery();while(rs.next()) {      out.println(rs.getString(1)+"/"+                  rs.getString(2)+"/"+                  rs.getString(3));

接着运行却出现了错误:

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''student' where name= 'hacker'' at line 1

最后经过调试发现param_table不能被绑定,并且发现字段名也不能被绑定,那么可能会用拼接的方式进行预编译再查询,代码如下:

String param_table = "student";String param_name = "hacker";PreparedStatement ps = conn.prepareStatement("select * from "+param_table+" where name=?");ps.setString(1,param_name);ResultSet rs =  ps.executeQuery();while(rs.next()) {      out.println(rs.getString(1)+"/"+                  rs.getString(2)+"/"+                  rs.getString(3));            }

但是param_table=student这里依旧产生了注入,如果修改为:

String param_table = "student union select * from teacher";

则:

9e6fcd4d6cd6af5d9f8009c058dfd45f.png
b02d6174b5dcaa87e24779d1d1fdbaed.png

那么我只能把student写死在语句中:

String param_name = "hacker";String stmt = "select * from student where name=?";PreparedStatement ps = conn.prepareStatement(stmt);ps.setString(1,param_name);ResultSet rs =  ps.executeQuery();while(rs.next()) {      out.println(rs.getString(1)+"/"+                  rs.getString(2)+"/"+                  rs.getString(3));            }

此时再将param_name修改为hacker’ or 1=1#:则会将hacker’ or 1=1#当做表名来查询,查不到这个表,当然无回显了:

a70d4a1fb4af857286b0bbcb8a21da71.png

2.存储过程:有这样一个对student表操作的存储过程:

create procedure `getstudent`(in aname varchar(20),out uname varchar(20),out uage int(11),out usex varchar(10))beginselect * from student where name=aname into uname,uage,usex;end;

那么我们可以用CallableStatement类来防止注入,代码如下:

String param_name = "hacker’ or 1=1#";CallableStatement cs = conn.prepareCall("{call getstudent(?,?,?,?)}");cs.setString(1,param_name);cs.registerOutParameter(2,Types.VARCHAR);cs.registerOutParameter(3,Types.INTEGER);cs.registerOutParameter(4,Types.VARCHAR);cs.executeQuery();out.println(cs.getString(2)+"/"+cs.getInt(3)+"/"+cs.getString(4));

可以看到SQL注入的语句已经不再起作用:

3772a1d32c65cee0bb91264b040ee63e.png

3.白名单验证:前面的预编译和存储过程不能对表名进行操作,那么这里用白名单对表名进行过滤,代码如下:

String param_table = "student union select * from teacher";String param_name = "hacker";String stmt = "";if(param_table.equals("student")) {stmt = "select * from student where name=?";}else if(param_table.equals("teacher")) {stmt = "select * from teacher where name=?";}else {out.println("table name error!");}PreparedStatement ps = conn.prepareStatement(stmt);ps.setString(1,param_name);ResultSet rs = ps.executeQuery();while(rs.next()) {      out.println(rs.getString(1)+"/"+  rs.getString(2)+"/"+  rs.getString(3));}

尝试进行注入则会报错:

e05374b8bb5ae94e0be36e41d27726dc.png

4.对输入进行编码:这里我使用十六进制对输入进行编码,方法的声明及定义代码如下:

public static String bytestoHex(byte[] byteArr) {if(byteArr == null || byteArr.length < 1) return "";StringBuilder sb = new StringBuilder();for(byte t : byteArr) {if((t & 0xF0) == 0) sb.append("0");sb.append(Integer.toHexString(t & 0xFF));}return sb.toString().toUpperCase();}

使用方法byte2HexStr对输入param_name进行编码,代码:

String param_name = "hacker' or 1=1#";Statement stmt = conn.createStatement();String hex_param_name = bytestoHex(param_name.getBytes());out.println("编码后的param_name为:"+bytestoHex(param_name.getBytes()));ResultSet rs = stmt.executeQuery("select * from student where hex(name)='"+hex_param_name+"'");while(rs.next()) {out.println(rs.getString(1)+"/"+rs.getString(2)+"/"+rs.getString(3));}

由于hacker’ or 1=1#被编码为6861636B657227206F7220313D3123并被作为表名进行查询,因此不会dump出其他信息:

d7167ba922eb87022e8886166f4b7774.png
weixin_39543655
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用mybatis操作MySQL数据库入门笔记
L17707500994的博客
10-25 414
mybatis简介:MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录。 新建一个javaweb项目: 引入对应的jar包: 其中一些jar是日志记录和mysql数据库连接的jar包剩下的就是mybati
jdbc mysql 打印sql_log4jdbc打印完整SQL
weixin_32098191的博客
01-26 1021
一、log4jdbc简单介绍:log4jdbc是工作在jdbc层的一个日志框架,能够记录SQL及数据库连接执行信息。一般的SQL日志会把占位符和参数值分开打印,log4jdbc则会记录数据库执行的完整SQL字符串,在数据库应用开发调试阶段非常有用。log4jdbc具有以下特性:支持JDBC3和JDBC4。支持现有大部分JDBC驱动。易于配置(在大部分情况下,只需要改变驱动类名和jdbc的URL,设...
如何抓到jdbc连接的所执行的sql语句
04-26 583
我们通常在定位数据库锁问题时,通常希望找到哪个进程发出了哪个语句,锁住了哪张表,一般我们通过查v$lock,然后找到sid,再到v$sesion里找到这个进程的hash_value或pre_hash_value,然后根据hash_value定位到具体的语句。可是,我们发现,通过JDBC连接上来的进程,它的hash_value是0,所以我们就无法定位这个进程执行的语句了,不过在oracle 10
jdbc获取PreparedStatement最终执行的sql语句
ilove_story的博客
08-16 3431
//直接打印PreparedStatement对象 System.out.println(ps); 输出结果: com.mysql.jdbc.JDBC42PreparedStatement@5f205aa: select * from easybuy_product where name like '%%' order by price asc limit 0,20
stmt如何获取完整sql_TiDB源码阅读笔记(四) SQL 的必经之路
weixin_39852688的博客
12-08 210
好像 2020.8 session.execute 的代码做了一些调整,最好先 update 一下再看。Ps 别嫌文章乱,文末有彩蛋。TiDB源码阅读笔记(一) TiDB的入口 的最后,提到了 execute SQL 的入口,因为绝大部分 SQL 在 TiDB 中走的都是 COM_QUERY ,所以基本走的都是 handleQuery ,func (cc *clientConn) handleQu...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`rollback()`来控制事务边界。 8. **连接池**: - 在实际应用中,为了提高性能和资源利用...
适用SQL Server 2016版本的数据库加载驱动包jdbc
最新发布
03-19
总之,"sqljdbc"驱动包为Java开发者提供了连接SQL Server 2016的桥梁,通过遵循上述步骤,开发者可以轻松地在Java应用中实现对SQL Server 2016的数据存取,从而充分利用SQL Server的强大功能。在实际开发中,还应...
sqljdbc_4.0.2206.100_chs.rar
08-18
该压缩包中的核心文件"sqljdbc_4.0.2206.100_chs.exe"是驱动程序的安装文件,它包含了所有必要的JDBC驱动jar包,如sqljdbc_auth.dll(用于Windows上的NTLM身份验证)、sqljdbc4.jar(支持JDBC 4.0规范)等。...
Sql-Server-2000-JDBC.rar_java sql server
09-19
对于SQL Server 2000,微软提供了JDBC驱动,名为`sqljdbc.jar`。在程序启动时,使用`DriverManager.registerDriver()`方法注册驱动。例如: ```java Class.forName(...
sqljdbc_6.2.2.1_chs.tar.gz
05-04
总的来说,"sqljdbc_6.2.2.1_chs.tar.gz"提供的JDBC驱动为Java开发者提供了高效、安全地访问SQL Server 2012数据库的能力,使得跨平台的Java应用能够无缝地与Windows环境下的SQL Server进行交互。无论你是开发Web...
基于Calcite自定义SQL解析器
麒思妙想
10-24 3347
这本应该是《我也能写数据库》系列文章中的一篇,但是最近一直在反思这个系列标题是不是有点不亲民,所以,暂时放弃这个系列标题了。本文会介绍如何扩展Calcite的SQL解析器...
preparestatment获取sql_利用JDBC的PrepareStatement打印真实SQL的方法详解
weixin_39716971的博客
12-19 956
前言本文主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍:我们知道,JDBC 的 PrepareStatement 优点多多,通常都是推荐使用 PrepareStatement 而不是其基类 Statment。PrepareStatement 支持 ? 占位符,可以将参数按照类型转自动换为真实的值。既然这一...
PrepareStatement预编译答应完整sql语句
weixin_34138521的博客
05-09 413
System.out.println("完整sql语句:" + ps.toString()); 转载于:https://www.cnblogs.com/horsen/p/6832116.html
JDBCJDBC获取数据库连接、数据的增删改查操作
weixin_46081857的博客
12-13 1205
(1)面向接口编程的思想 (2)ORM思想(object relational mapping,对象关系映射) ① 一个数据表对应一个java类 ② 表中的一条记录对应java类的一个对象 ③ 表中的一个字段对应java类的一个属性 sql是需要结合列名和表的属性名来写。注意起别名。 2.JDBC API两种技术 (1) JDBC结果集的元数据:ResultSetMetaData 获取列数:getColumnCount() 获取列的别名:getColumnLabel() (2)通过反射,创建指定类的对象,
mysql 预编译语句_SQL预编译
weixin_39928017的博客
01-19 925
1.数据库预编译起源(1)数据库SQL语句编译特性:数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。(2)减少编译的方法如果每次都需要经过上面的词法语义解析、...
Java JDBC入门与SQL基础
"JDBC入门PPT - 介绍JDBC驱动程序管理器和SQL语言的基础知识,包括数据定义、操纵和控制语言,以及INSERT、UPDATE、DELETE等数据更新语句的应用" 在Java数据库连接(JDBC)技术中,JDBC驱动程序管理器扮演着至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值