oracle防止sql注入proc,试图在使用JPA动态引用Oracle包时阻止SQL注入

最新推荐文章于 2023-10-06 06:52:24 发布
最新推荐文章于 2023-10-06 06:52:24 发布
阅读量259 收藏
点赞数
文章标签: oracle防止sql注入proc

我已经走了一段路,撞到了一堵墙,上面写着这是怎么可能实现的。

基本上,查询是使用JPA构造的,并传递给Oracle数据库。在数据库上有一个包,用于生成引用,它是基于环境动态命名的。该值是用户可编辑的,并在应用程序中存储为db属性。我对这个体系结构没有任何控制权。

在pre-jpa阶段,使用包的引用值生成一个查询字符串,该值被设置为一个属性(同样,我不能更改这种设计方式)。我用

Query

方法

setParameter()

,像这样:

(伪代码为重点上下文替换无关部分)

String referenceRef = [ reference is fetched from DB properties ];

String queryString = "SELECT ?1 FROM sys.dual";

final Query myQuery = getEntityManager().createNativeQuery( queryString );

myQuery.setParameter( 1, referenceRef );

return myQuery.getSingleResult();

我做这件事几乎是作为一种反射,只是为了认识到(在逆行规范中,很明显)这实际上不会起作用,因为它是在逃避不应该逃避的元素…

所以,在哪里

referenceRef = "DynamicallyNamedPackage.DoThisDynamicallyNamedThing"

,以上代码将返回

"DynamicallyNamedPackage.DoThisDynamicallyNamedThing"

很明显,这是为了确保安全,而这样做的意义在某种程度上是我所要做的事情的前提。

是否可以在不创建整个附加代码块的情况下实现这一点?作为一种选择,我现在能想到的就是

dba_procedures

对于所有匹配的Package对象,并使用该查询的结果构造

queryString

(因此,使用任何用户可编辑的值进行绕行),但感觉会很复杂。这是一个替代方案,我使用它来代替改进:

final String verifyReference = "SELECT object_name FROM "

+ "dba_procedures WHERE object_type = 'PACKAGE' AND object_name =?1";

final Query refQuery = getEntityManager().createNativeQuery( verifyReference );

refQuery.setParameter( 1, referenceRef );

final String result = refQuery.getSingleResult();

final String queryString = "SELECT " + result + " FROM sys.dual";

final Query myQuery = getEntityManager().createNativeQuery( queryString );

return myQuery.getSingleResult();

它将根据现有包的列表查找用户可编辑属性引用,然后使用该查询的结果来构建原始引用。它包含了更多的空检查等等,并且确实消除了漏洞,但是感觉有点“未完成”。

(正如注释中已经提到的,这种类型的设计需要SQL注入,但需要防止“SQL注入”,定义为不允许使用意外的值在设计之外对数据库进行操作。)

weixin_39876592
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
怎么防止SQL注入
。。。。
03-21 6990
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
防止 SQL 注入
洪晓鸿
04-26 2442
防止 SQL 注入是在使用 Spring Boot 开发 Web 应用程序必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预防 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击能够保持数据安全。
关于利用oracle自带功能防止SQL注入的方法
qq_33574974的博客
08-29 4102
关于利用oracle自带功能防止SQL注入的方法 在B/S开发中我们经常会考虑一个安全问题那就是防止SQL注入,现在介绍ORACLE自带的程序进行防止SQL注入;在oracle的DBMS_ASSERT 含了相关的函数,将传入的参数使用其进行检查,如果不符合相关规则,那末SQL语句执行会报错,从而达到防止SQL注入的风险。    ENQUOTE_LITERAL    输入字符
like避免注入 oracle,模糊查询的like '%$name$%'的sql注入避免
weixin_30564447的博客
04-12 470
1035-Spell checker(模糊匹配)一,题意: 给出一组字典的单词,以'#'结束,之后给出一组要执行模糊匹配的单词序列,以'#'结束 1,若某个单词能在字典中找到,则输出corret 2,若某个单词能通过 变换 或 删除 或 添加一个字 ...JQ 数字验证$.fn.extend({ checknum: function (min, max, acc...
jpa+oracle Query原生sql方式分页和动态排序
qq_37623854的博客
03-19 2285
jpa+oracle Query原生sql方式分页和动态排序 注:如果你是jpa高手,请绕道 1、原生sql方式(Dto里的数据来自同一个数据库,缺点是Dto里要是有从其他模块call到的数据,若是用此字段排序,则不能实现排序和分页) 2、List工具类方式(缺点是必须先查出全部符合的数据,才能再进行分页和排序) 第一种,原生sql方式 说明:推荐用于多表连接查询,且业务比较复杂,单表不建议使...
pymysql如何解决sql注入问题深入讲解
09-09
使用动态字符串拼接来构建SQL查询,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```python import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' + str...
泛微OA8前台sql注入1
08-08
在`proc`方法中,当`cmd`的值等于`getSelectAllId`,程序会继续从请求中提取`sql`和`type`两个参数,并将它们传递给`getSelectAllIds(sql, type)`方法。 在`getSelectAllIds`方法中,`sql`参数的值未经任何安全...
ProC-Sample.rar_oracle_oracle proc sample_proc
09-20
3. **动态SQL**:ProC支持动态SQL,可以在运行构造和执行SQL语句。 4. **数据类型映射**:理解如何在C和Oracle数据类型之间进行映射是非常重要的。 5. **异常处理**:学习如何在C代码中捕获和处理Oracle的异常。...
Oracle教程之pl/sql简介
09-10
Oracle PL/SQL是一种在Oracle数据库环境中使用的编程语言,它是SQL的增强版本,融合了过程化编程元素。PL/SQL提供了一种结构化的编程环境,允许开发者编写复杂的数据库应用程序,括存储过程、函数和触发器等。 一...
Mybatis、JPA都是如何防止SQL注入
qq_44985699的博客
08-09 816
mybatis和jpa如何防止sql注入
[实践总结] Java 防止SQL注入的四种方案
张紫娃的博客
08-28 1102
当 id 传值为 1001 or 1 = 1此,数据库的数据都会被清空掉,后果非常严重。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
Java项目防止SQL注入的四种方案
最新发布
Venus's Blog
10-06 4万+
SQL注入(SQL Injection)是一种代码注入技术,是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。简单来说,SQL注入攻击者通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,传入后端的SQL服务器执行。结果是可以执行恶意攻击者设计的任意SQL命令。由于’或’1’='1 总是为真,所以可以绕过密码验证登录系统。SQL注入可以通过多种方式进行防范,如使用参数化的SQL语句、输入验证和过滤等方法。
oracle防止sql注入proc,解密:Oracle怎么防SQL注入
weixin_34160181的博客
04-03 1202
昨天我们说了怎么绕过waf进行sql注入,今天我们继续这个话题,说说Oracle数据库本身在防sql注入方面做了哪些工作。Oracle从8i开始PL/SQL中涌现出了大量SQL注入漏洞,直至11.2版本才基本扫清了PL/SQL自身存在的SQL注入漏洞。但至今日依然存在一些跨语言边界的注入漏洞和二阶SQL注入漏洞。在OracleSQL注入漏洞的战斗史中关键的两步分别在10gr2和11gr1达成。...
如何在Java应用程序中预防SQL注入
allway2的博客
07-22 1582
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文中,我们介绍了Java应用程序中的SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来防止它们。主要思想是,即使我们无法在代码中找到所有可能的漏洞——这是处理遗留系统的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程中,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
解决SQL注入(Java)
ilqgffvramusm2864的博客
04-12 5536
​​​​​​ JAVASQL INJECTION 0x01 简介 文章主要内容括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 0x02 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 更多请参考 htt..
JPA的Query返回Map对象
zjumty
08-10 3289
[size=xx-large]让JPA的Query返回Map对象[/size] 在JPA 2.0 中我们可以使用entityManager.createNativeQuery()来执行原生的SQL语句。 但当我们查询结果没有对应实体类,query.getResultList()返回的是一个List。也就是说每行的数据被作为一个对象数组返回。 常见的用法是这样的: [code=...
如何避免出现SQL注入漏洞
阿里云云栖号
09-09 2098
简介:本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 作者 | 阿里云安全团队 来源 | 阿里技术公众号 ‍‍‍‍‍‍‍‍ 一 前言 本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案。 二 SQL注入漏洞的原理、形成原因 SQL注入漏洞,根本上讲,是由于错把外部输.
PHP安全编程:防止SQL注入与XSS攻击策略
例子中的未过滤动态SQL语句是导致SQL注入的主要原因。为了防止SQL注入,开发者应采取以下措施: 1. 使用参数化查询(预编译语句)如PDO的prepare和execute,或MySQLi的bind_param,这可以确保用户输入与SQL命令分离...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值