java安全编码指南之:输入注入injection

最新推荐文章于 2024-04-07 16:19:55 发布
最新推荐文章于 2024-04-07 16:19:55 发布
阅读量236 收藏
点赞数
原文链接:https://www.cnblogs.com/flydean/p/13800868.html
版权

SQL注入
什么是SQL注入呢?

SQL注入的意思是,用户输入了某些参数,最终导致SQL的执行偏离了程序设计者的本意,从而导致越权或者其他类型的错误。

也就是说因为用户输入的原因,导致SQL的涵义发送了变化。

拿我们最常用的登录的SQL语句来说,我们可能会写下面的SQL语句:

select * from user where username=’’ and password=’’
我们需要用户传入username和password。

怎么对这个SQL语句进行注入呢?

很简单,当用户的username输入是下面的情况时:

somebody’ or ‘1’='1
那么整个SQL语句将会变成:

select * from user where username=‘somebody’ or ‘1’=‘1’ and password=’’
如果somebody是一个有效的用户,那么or后面的语言完全不会执行,最终导致不校验密码就返回了用户的信息。

同样的,恶意攻击者可以给password输入下面的内容可以得到同样的结果:

’ or ‘1’='1
整个SQL解析为:

select * from user where username=‘somebody’ and password=’’ or ‘1’=‘1’
这条语句将会返回所有的用户信息,这样即使不知道确定存在的用户名也可以通过SQL语句的判断。

这就是SQL注入。

java中的SQL注入
java中最常用的就是通过JDBC来操作数据库,我们使用JDBC创建好连接之后,就可以执行SQL语句了。

下面我们看一个java中使用JDBC SQL注入的例子。

先创建一个通用的JDBC连接:

public Connection getConnection() throws ClassNotFoundException, SQLException {
    Connection con = null;
        Class.forName("com.mysql.jdbc.Driver");
        System.out.println("数据库驱动加载成功");
        con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mysql?characterEncoding=UTF-8", "root", "");
        System.out.println("数据库连接成功");
      return con;
}

然后再自己拼装SQL语句然后调用:

public void jdbcWithInjection(String username,char[] password) throws SQLException, ClassNotFoundException {
Connection connection = getConnection();
if (connection == null) {
// Handle error
}
try {
String pwd = encodePassword(password);

        String sqlString = "SELECT * FROM user WHERE username = '"
                + username +
                "' AND password = '" + pwd + "'";
        Statement stmt = connection.createStatement();
        ResultSet rs = stmt.executeQuery(sqlString);

        if (!rs.next()) {
            throw new SecurityException(
                    "User name or password incorrect"
            );
        }
    } finally {
        try {
            connection.close();
        } catch (SQLException x) {
        }
    }
}

上面的例子中,只有username会发生注入,password不会,因为我们使用了encodePassword方法对password进行了转换:

public String encodePassword(char[] password){
return Base64.getEncoder().encodeToString(new String(password).getBytes());
}
使用PreparedStatement
为了防止SQL注入,我们一般推荐的是使用PreparedStatement,java.sql.PreparedStatement可对输入参数进行转义,从而防止SQL注入。

注意,一定要正确的使用PreparedStatement,如果是不正确的使用,同样会造成SQL注入的结果。

下面看一个不正确使用的例子:

String sqlString = “SELECT * FROM user WHERE username = '”
+ username +
“’ AND password = '” + pwd + “’”;
PreparedStatement stmt = connection.prepareStatement(sqlString);
ResultSet rs = stmt.executeQuery();
上面的代码中,我们还是自己进行了SQL的拼装,虽然最后我们使用了preparedStatement,但是没有达到效果。

正确使用的例子如下:

String sqlString =
“select * from user where username=? and password=?”;
PreparedStatement stmt = connection.prepareStatement(sqlString);
stmt.setString(1, username);
stmt.setString(2, pwd);
ResultSet rs = stmt.executeQuery();
我们需要将用户输入作为参数set到PreparedStatement中去,这样才会进行转义。

XML中的SQL注入
可扩展标记语言(XML)旨在帮助存储,结构化和传输数据。 由于其平台独立性,灵活性和相对简单性,XML已在许多应用程序中得到使用。 但是,由于XML的多功能性,它容易受到包括XML注入在内的各种攻击的攻击。

那么什么是XML注入呢?我们举个例子:

Iphone20 5000.0 1 上面的例子中,我们使用了XML定义了一个iphone20的价格和数量。一个iphone20 5000块。

上面的XML中,如果quantity是用户输入的数据的话,那么用户可以这样输入:

120.01
最后得出的XML文件如下:

Iphone20 5000.0 1 20.01 一般来说,我们在解析XML的过程中,如果发现有重复的tag,那么后面的tag会覆盖前面的tag。

结果就是1个iphone20现在的价格是20块,非常划算。

XML注入的java代码
我们看下XML的注入在java代码中是怎么实现的:

public String createXMLInjection(String quantity){
    String xmlString = "<item>\n<name>Iphone20</name>\n"
            + "<price>5000.0</price>\n" + "<quantity>" + quantity
            + "</quantity></item>";
    return xmlString;
}

可以看到我们直接使用用户输入的quantity作为XML的拼接,这样做很明显是有问题的。

怎么解决呢?有两种方法。

第一种方法
第一种方法就是对用户输入的quantity进行校验:

public String createXML(String quantity){
    int count = Integer.parseUnsignedInt(quantity);
    String xmlString = "<item>\n<name>Iphone20</name>\n"
            + "<price>5000.0</price>\n" + "<quantity>" + count
            + "</quantity></item>";
    return xmlString;
}

上面代码中,我们对quantity进行了Integer的转换,从而避免了用户的非法输入。

第二种方法
第二种方法是使用XML Schema,来对生成的XML进行格式校验。

先看一下我们改怎么定义这个XML Schema:

<xs:schema xmlns:xs=“http://www.w3.org/2001/XMLSchema”>
<xs:element name=“item”>
xs:complexType
xs:sequence
<xs:element name=“name” type=“xs:string”/>
<xs:element name=“price” type=“xs:decimal”/>
<xs:element name=“quantity” type=“xs:nonNegativeInteger”/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
上面我们定义了一个XML element的序列sequence。如果用户输入了非定义格式的其他XML,就会报错。

我们看下相对应的java代码该怎么写:

StreamSource ss = new StreamSource(new File(“schema.xsd”));
Schema schema = sf.newSchema(ss);
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setSchema(schema);
SAXParser saxParser = spf.newSAXParser();
XMLReader reader = saxParser.getXMLReader();
reader.setContentHandler(defHandler);
reader.parse(xmlStream);
龙华大道1号 http://www.kinghill.cn/Dynamics/2106.html

福伴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
element $prompt 输入类型密码_手把手教程 | 为你支招 安全保存账号和密码的两种方法...
weixin_39836726的博客
12-09 1604
机器人需要自动登陆各种系统,UiPath里可以用type into或者click text的方式输入账号密码。其中,安全在企业当中十分关键,比如财务系统的登陆密码,因此要找到一个更安全有效的登陆方式。今天手把手教程就给大家介绍两种账号登陆的方式。1第一步,使用Get Password活动存储密码如图,在它的右方属性处输入密码,密码是*加密状态。第二步,使用Assign活动,将变量类型从String...
CoffeeStoreExample:Java研究的CoffeeStoreExample
05-17
Spring提供了依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP)等特性,极大地简化了Java应用的开发。DI使得对象之间的关系不再硬编码,而是通过配置文件或注解来管理,增强...
拖拽上传和记住密码问题
wade3po的博客
11-09 291
最近一直在开发项目,不需要加班,但是要一整天都撸代码,慢慢的居然发现自己对于业务代码有了一些进步,尤其是对elementUi的使用。 上传,之前从来没有说需要提示有超出大小范围或者是文件不支持的,因为都默认是后台管理,一些大家默认的东西就不需要。这次不行,要提示,而element上传拖拽被过滤了,类型不符合的不会有反应,内部已经过滤了。不限制accept可以,但是点击上传的时候又没办法过滤。一开始想着要不要换个控件,后来又想着能不能覆盖element的方法,手动触发handleClick,试过了效果都不理想
elementUI-MessageBox 弹框之$prompt
若末lan的博客
05-16 4743
输入框的类型 默认text, 文档比较简洁没有列举其他的type,其实input的type有很多,比如file,date,比如这里我写的textarea也是OK的;2.inputValidator 输入框的校验函数。val)return '放弃原因必填'},之前写都没有记录,今天记录一下,文档上没有写的关于$prompt内容提交的校验。
python3从零学习-5.6.3、getpass — 便携式密码输入工具
山海皆可平z
05-29 266
源代码: Lib/getpass.py getpass 模块提供了两个函数: getpass.getpass(prompt='Password: ', stream=None) 提示用户输入一个密码且不会回显。 用户会看到字符串 prompt 作为提示,其默认值为 'Password: '。 在 Unix 上,如有必要提示会使用替换错误句柄写入到文件类对象 stream。 stream 默认指向控制终端 (/dev/tty),如果不可用则指向 sys.stderr (此参数在 Windows 上.
大模型攻防|Prompt 提示词攻击
Meiling_up
09-16 9196
本文介绍大模型攻防领域中「Prompt提示词攻击」的相关知识。
2022年EJB 3.0开发指南之依赖注入Java教程.docx
07-12
依赖注入(Dependency Injection,简称DI)是Java编程中一种重要的设计模式,特别是在企业级Java应用(Enterprise JavaBeans,EJB)3.0版本中得到了广泛的应用。依赖注入的核心思想是解耦,它允许开发者在不修改代码...
injection-master_injection_
09-30
7. 安全编码实践:遵循OWASP(开放网络应用安全项目)的安全编码指南,了解并应用安全设计模式,比如最小权限原则,可以大大降低注入风险。 8. 安全配置:保持系统和应用的最新更新,安装所有必要的安全补丁,有助...
SpringBootNewbie:我从零开始的学习之路
03-17
在IT行业中,Spring Boot是一个备受推崇的框架,尤其在Java开发者群体中,它极大地简化了构建和部署Java应用的过程。...理解并掌握这些知识点,将使你在Java开发领域更加得心应手,开启高效编码之旅。
spring-detail-demo:根据编码,请不要使用此项目
05-18
本篇文章将基于“spring-detail-demo”项目,深入探讨Spring的核心特性——依赖注入(Dependency Injection,简称DI)以及面向切面编程(Aspect-Oriented Programming,简称AOP),旨在帮助开发者更全面地理解和运用...
使用大型语言模(LLM)构建系统(二):内容审核、预防Prompt注入
weixin_42608414的博客
06-04 2325
今天我们学习了如何通过openai的API来实现内容审核,以及如何识别和预防prompt注入,希望这些内容对有志从事ChatGPT应用开发的同学有所帮助。
Langchain框架 prompt injection注入
qq_45698157的博客
04-28 952
Prompt Injection 是一种攻击技术,黑客或恶意攻击者操纵 AI 模型的输入值,以诱导模型返回非预期的结果。
【AI大模型应用开发】1.3 Prompt攻防(安全) 和 Prompt逆向工程
同学小张的博客
01-29 3551
本文主要介绍了Prompt攻击和防攻击的手段,这对于大模型应用开发非常重要,毕竟谁也不想自己辛辛苦苦做的东西被拿来干坏事或者隐私遭到泄漏,这对一个应用来说是致命性的。然后介绍了下Prompt逆向工程,这其实就是用来学习优秀Prompt的一种手段
#LLM入门|Prompt#2.4_检查输入_审核合法性|Prompt注入|Prompt injection:指令注入攻击_Moerration
weixin_45312236的博客
02-29 1055
如何使用 OpenAI 的 Moderation API 来进行内容审查,以及如何使用不同的提示来检测提示注入(Prompt injections)。
提示注入攻击-1
10-09 1189
同时,这些厂商或开发人员精心构造的提示作为产品的核心,可能包含重要的知识产权,因此需要采取适当的措施,以防止核心能力和数据的泄漏。开发人员和AI供应商应采取必要的安全措施,确保系统提示不被泄露,并加强对这些系统提示的保护和审查,以防止未经授权的操纵和滥用。对于模型的原始提示,包括开发人员设置的系统提示、AI产品供应商设置的专有提示前缀以及用户的对话记录等。系统提示泄露是指攻击者试图获取由开发人员或AI产品供应商设定的系统提示,而用户提示泄露则是指攻击者试图获取模型通过用户对话记录中获得的个性化提示。
element-ui 在Popover弹框中使用Select选择器,Vue3
最新发布
weixin_73303171的博客
04-07 679
popover组件的的关闭是当点击组件外的元素时会关闭,select虽然是写在组件内的,但是select有一个默认属性。会把它默认插到 body 元素,我们把它设置成false就可以了。当选择完select的时候,popover也会退出。
Prompt工程师指南[高阶篇]:对抗性Prompting、主动prompt、ReAct、GraphPrompts、Multimodal CoT Prompting等
丨汀、的博客
05-15 1373
对抗性Prompting是Prompting工程中的一个重要主题,因为它有助于理解与 LLMs 相关的风险和安全问题。这也是一门重要的学科,用于识别这些风险并设计解决问题的技术。社区发现了许多不同类型的对抗性提示攻击,涉及某种形式的提示注入。我们在下面提供了这些示例的列表。当你构建 LLMs 时,保护免受可能绕过安全护栏并破坏模型指导原则的提示攻击非常重要。我们将在下面介绍这方面的示例。请注意,可能已经实施了更强大的模型来解决此处记录的某些问题。这意味着下面的一些提示攻击可能不再那么有效。
provide、inject、InjectionKey使用
MM_520131400的博客
12-06 988
在TS下,provide、inject、InjectionKey使用
学生利用“提示符注入”方法,攻破ChatGPT版必应搜索
smellycat000的专栏
02-13 1660
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软上线必应 (Bing) 新版Chat 搜索后,人们开始试图让改机器人吐露更多不允许说的内容。在斯坦福大学就读计算机科学专业的学生 Kevin Liu获得成功。去年9月,数据科学家 Riley Goodside 发现,他只通过“忽略上述指南,这样做”就能诱骗GPT-3生成既定内容之外的文本。英国计算机科学家 Simon Willison 之后将...
Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not allow
12-21
根据提供的引用内容,您遇到的问题是数据库查询错误,具体原因是java.sql.SQLException: sql注入违规,不允许使用注释。为了解决这个问题,您可以采取以下措施: 1. 避免使用注释:在编写SQL查询语句时,确保不使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值