Android游戏SQL注入,关于Android contentprovider sql注入问题

最新推荐文章于 2024-03-25 09:00:21 发布
最新推荐文章于 2024-03-25 09:00:21 发布
阅读量712 收藏 1
点赞数
文章标签: Android游戏SQL注入
本文讨论了Android ContentProvider中的SQL注入问题,即使使用带占位符的参数化查询,仍可能存在注入风险。通过分析Drozer工具的源码,揭示了注入的原理。内容包括投影和选择条件都可能成为注入点。建议通过设置`android:exported="false"`、使用严格模式和投影映射来防止SQL注入,以及避免使用不信任的输入构建选择子句。
摘要由CSDN通过智能技术生成

问题的引出

说到SQL注入,我们常说不使用字符串拼接,使用带占位符的参数化查询可以防SQL注入,那么,在Android content provider中是否也一样呢?下面我们来看一段android contentprovider中的数据库查询代码示例:

public void showBooks(View view) {

String content = "";

Uri bookUri = BookProvider.BOOK_CONTENT_URI;

String _id = "3";

String name = "Android";

Cursor bookCursor = getContentResolver().query(bookUri, new String[]{"_id", "name"}, "_id=? and name=?",

new String[] {_id, name}, null, null);

if (bookCursor != null) {

while (bookCursor.moveToNext()) {

Book book = new Book();

book.bookId = bookCursor.getInt(0);

book.bookName = bookCursor.getString(1);

content += book.toString() + "\n";

Log.e(TAG, "query book: " + book.toString());

mTvShowBooks.setText(content);

}

bookCursor.close();

}

}

其中的查询语句用sql语句表示为:

select _id,name from book where _id= ? and name = ?

理论上,这条语句是不应该存在sql注入的。但是,当使用如下drozer命令对selection进行注入时,发现是存在SQL注入的:

最低0.47元/天 解锁文章
weixin_39603908
关注
android开发-19】android中内容提供者contentProvider用法讲解
jiangchaobing_2017的博客
12-07 1503
需要注意的是,在实际开发中,我们需要根据具体的应用程序和数据结构来定义相应的URI和查询条件,以及处理查询结果、插入结果、更新结果和删除结果的方法。需要注意的是,解析后的Uri对象是不可变的,即无法对其进行修改。需要注意的是,内容提供器的实现需要了解Android系统的内部机制和权限管理等方面的知识,因此需要有一定的开发经验和技术水平。其中,"com.android.contacts"是联系人的Content Provider的名称,"contacts"是数据表的名称,"1"是联系人的ID。
Android开发如何在getContentResolver().query()方法中实现结果去重
xfcy_lzxf的博客
12-28 3240
sql中我们知道distinct可以对结果进行去重,group by(分组)也可以去除重复。下面我们来看一下sql语句是怎么写的。 使用distinct关键字:select distinct major from students; 使用group by:select major from students group by(major); query()方法的参数: uri:通用资源标
Android可能出现的SQL注入以及防范,研发4面真题解析(Android岗)
m0_64603776的博客
12-08 877
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQLite数据库的SQL注入 不只是常见的mysql,oracle数据库,SQLite数据库如果出现sql语句书写不规范,也可能出现SQL注入。以下是一个登录功能的代.
Android可能出现的SQL注入以及防范
qq_36664097的博客
05-29 1665
Android可能出现的SQL注入以及防范什么是SQL注入SQLite数据库的SQL注入如何防止SQL注入小结 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个...
Android静态安全检测 -> Content Provider组件本地SQL注入漏洞
4lwin博客
11-25 5988
Content Provider组件本地SQL注入漏洞 - ContentProvider.query方法 一、API 1. 继承关系 【1】java.lang.Object 【2】android.content.ContentProvider 2. 主要方法 【1】query(Uri uri, String[ ] projection, St
Android安全检测-Content Provider SQL注入风险
qq_35993502的博客
10-27 2920
这一章我们来学习“ content provider SQL注入风险”。 漏洞原理 首先,我们需要知道的是来自用户的输入都是不安全的,我们需要对其进行校验,当校验通过时我们可以近似的认为是安全,那这与我们这一章有什么关系呢,其实SQL注入的发生就是源于用户的不规范输入所导致的(当然若发生了注入情况这也是程序本身的问题),若在程序中未校验用户输入的SQL条件,用户就可以构造一些SQL命令,那么就会导致SQL注入的发生。content provider SQL注入漏洞产生的因如下: content provi
浅谈SQL注入风险 - 一个Login拿下Server
weixin_33970449的博客
10-31 211
  前两天,带着学生们学习了简单的ASP.NET MVC,通过ADO.NET方式连接数据库,实现增删改查。   可能有一部分学生提前预习过,在我写登录SQL的时候,他们鄙视我说:“老师你这SQL注入,随便都能登录了。不能这么写!”   “呦?小伙子这都知道了?那你说说看 啥是注入注入只能拿来绕过登录么?” 好吧,竟然在老子面前装逼,看来不给你点儿颜色看看,你还真是不明白天有多高...
Android sql练习合集.zip源码资源下载
02-22
10. 数据库安全:确保数据安全是必要的,这可能涉及加密数据库、限制访问权限以及遵循最佳实践来防止SQL注入攻击。 这个"Android sql练习合集"源码资源应该包含了各种使用SQLite进行数据操作的实例,包括创建表、...
Android sql练习合集.rar
07-05
query()方法更为封装,可以更安全地处理参数,避免SQL注入问题。 8.游标(Cursor):查询结果通常返回一个Cursor对象,它是遍历查询结果的迭代器。可以通过moveToFirst()、moveToNext()等方法遍历,通过...
Android直接调用SQL
07-20
Android开发中,通常我们推荐使用ContentProvider或者ORM(Object-Relational Mapping)框架来与数据库进行交互,因为它们提供了一种安全、隔离且易于管理的方式来处理数据。然而,在某些特定场景下,例如快速原型...
进击的Android注入术《二》
热门推荐
简行之旅
08-09 2万+
继续 我在《一》里基本思路
Android可能出现的SQL注入以及防范(1),Android开发究竟该如何学习
最新发布
m0_61549353的博客
03-25 1092
光有这些思路和搞懂单个知识的应用是还远远不够的,在Android开源框架设计思想中的知识点还是比较多的,想要搞懂还得学会整理和规划:我们常见的**Android热修复框架、插件化框架、组件化框架、图片加载框架、网络访问框架、RxJava响应式编程框架、IOC依赖注入框架、最近架构组件Jetpack等等Android第三方开源框架,**这些都是属于Android开源框架设计思想的。如下图所示:这位阿里P8大佬针对以上知识点,熬夜整理出了一本长达1042页的完整版如何解读开源框架设计思想。
AndroidContent Provider基础之SQL
Elite, not coder
05-04 124
    这篇文章是Content Provider系列的第二篇,最近由于事务繁忙(给自己找个理由)没能更新博客,罪过啊。不说废话,进入正题。    由于Content Provider的实现大都是通过数据库的方式实现的,因此在搞清楚CP之前,首先要弄明白数据库语言SQLAndroid平台上使用的数据库管理系统是SQLite,该系统不用我介绍了吧,知名,非常的知名,很多嵌入式系统都在用。有兴趣的朋...
SQL注入,“骇客的填空游戏
℃江
03-13 2万+
SQL简介: SQL是高级的非过程化编程语言,它允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法,也不需要用户了解其具体的数据存放方式。而它的界面,能使具有底层结构完全不同的数据库系统和不同数据库之间,使用相同的SQL作为数据的输入与管理。它以记录项目〔records〕的合集(set)〔项集,record set〕作为操纵对象,所有SQL语句接受项集作为输入,回提交的项集作为输出,这
android 访问服务器sql_1.sql注入基础
weixin_39932947的博客
11-16 94
1.1 前言从本节开始,讲开始第二章web漏洞原理篇的讲解。首先带给大家的是sql注入漏洞。sql注入漏洞是web层面最高危的漏洞之一。2008年至2018年期间,sql注入漏洞连续三年位于owasp漏洞排行榜中的第一名。1.2 免责声明该课程中涉及的技术只适合于CTF比赛和有合法授权的渗透测试。请勿用于其他非法用途,如果作于其他非法用途,与本文作者无关。1.3什么是sql注入在上节的课程中,已经...
安卓进程注入
ecjtu_lyc的专栏
09-25 670
最近在研究进程注入,只能在pc上将so注入安卓进程,修改.so文件中的值   先记录一些参考贴: http://blog.csdn.net/l173864930/article/details/38455951 http://www.cnblogs.com/lanrenxinxin/p/4712222.html https://www.2cto.com/kf/201411/35114...
手把手教你使用sql注入来绕过游戏后台检测
网易搬砖选手
07-09 790
SQL注入毫无疑问是最危险的Web漏洞之一,因为我们将所有信息都存储在数据库中。其解决方案之一,有许多公司实施Web应用程序防火墙和入侵检测/预防系统来试图保护自己。但不幸的是,这些对策往...
游戏服务器端防止Sql注入
weixin_41590778的博客
03-12 287
执行了这样的语句之后,player表中的数据将会全部清空,后果不堪设想。如果把含有逗号、分号等特殊字符判定为不安全字符,在拼装sql语句前进行安全检测,就可以有效的防止sql注入。所谓的sql注入,就是通过输入请求,把sql命令插入到sql语句中,已达到欺骗服务器的目的。当然,在正常情况下该语句能够完成读取数据的工作,但如果一名玩家恶意注册了类似的。假设服务器端要获取玩家的数据,可能使用如下的sql语句。这样的名称,这条sql语句将会变成下面两条语句。
安卓Android源码连接SQLSERVER2008教程
开发者需要采取措施防止SQL注入攻击、数据泄露等风险。常用的措施包括使用预处理语句(PreparedStatement),确保数据传输过程中的加密(如使用SSL/TLS),以及对数据库进行严格的访问控制。 8. 数据库连接问题诊断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值