java安全(二):JDBC|sql注入|预编译

已于 2022-08-06 06:24:23 修改
阅读量6.1k 收藏 10
点赞数 4
分类专栏: Java安全 文章标签: java sql 安全
于 2021-11-14 10:40:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45694388/article/details/121314539
版权

给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿!

在这里插入图片描述

1 JDBC基础

JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),
不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。

2 JDBCConnection

2.1连接

Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.DriverManager中注册对应的驱动类,然后调用getConnection方法才能连接上数据库。

JDBC定义了一个叫 java.sql.Driver 的接口类负责实现对数据库的连接,所有的数据库驱动包都必须实现这个接口才能完成数据库的连接、 **java.sql.DriverManager.getConnection(xx)**其实就是简介的调用了java.sql.Driver 类的connect 方法 实现数据库连接。 数据库连接成功会返回一个叫 java.sql.Connection 的数据库连接对象, 一切对数据库的查询操作都依赖这个 Connection 对象

JDBC连接数据库的一般步骤:

1 注册驱动,Class.forName("数据库驱动的类名")
2 获取连接, DriverManager.getConnetion(xxx)

JDBC连接数据库示例代码如下

String CLASS_NAME = "com.mysql.jdbc.Driver";
String URL = "jdbc:mysql://localhost:3306/mysql"
String USERNAME = "root";
String PASSWORD = "root";




Class.forName(CLASS_NAME);// 注册JDBC驱动类
Connection connection = DriverManager.getConnection(URL, USERNAME, PASSWORD);

2.2 数据库配置

传统的Web应用的数据库配置信息一般都是存放在WEB-INF目录下的*.properties、.yml、.xml中的,如果是Spring Boot项目的话一般都会存储在jar包中的src/main/resources/目录下。常见的存储数据库配置信息的文件路径如:WEB-INF/applicationContext.xml、WEB-INF/hibernate.cfg.xml、WEB-INF/jdbc/jdbc.properties,一般情况下使用find命令加关键字可以轻松的找出来,如查找Mysql配置信息: find 路径 -type f |xargs grep “com.mysql.jdbc.Driver”。

为什么需要Class.forName?
很多人不理解为什么第一步必须是Class.forName(CLASS_NAME);// 注册JDBC驱动类,因为他们永远不会跟进驱动包去一探究竟。
实际上这一步是利用了Java反射+类加载机制往DriverManager中注册了驱动包!
在这里插入图片描述Class.forName(“com.mysql.jdbc.Driver”)实际上会触发类加载,com.mysql.jdbc.Driver类将会被初始化,所以static静态语句块中的代码也将会被执行,所以看似毫无必要的Class.forName其实也是暗藏玄机的。如果反射某个类又不想初始化类方法有两种途径:
1.
使用Class.forName(“xxxx”, false, loader)方法,将第二个参数传入false。
2.
ClassLoader.load(“xxxx”);

Class.forName可以省去吗?
连接数据库就必须Class.forName(xxx)几乎已经成为了绝大部分人认为的既定事实而不可改变,但是某些人会发现删除Class.forName一样可以连接数据库这又作何解释?

实际上这里又利用了Java的一大特性:Java SPI(Service Provider Interface),因为DriverManager在初始化的时候会调用java.util.ServiceLoader类提供的SPI机制,Java会自动扫描jar包中的META-INF/services目录下的文件,并且还会自动的Class.forName(文件中定义的类),这也就解释了为什么不需要Class.forName也能够成功连接数据库的原因了。
Mysql驱动包示例:
在这里插入图片描述

2.3 JDBC数据库连接总结

使用JDBC连接数据相对于PHP直接使用mysql_connect/mysqli_connect函数就可以完成数据库连接来说的确难了很多,但是其中也暗藏了很多Java的特性需要我们去深入理解。
或许您会有所疑问我们为什么非要搞明白Class.forName这个问题?这个问题和Java安全有必然的联系吗?其实这里只是想让大家明白Java反射、类加载机制、和SPI机制以及养成阅读JDK或者第三方库代码的习惯,也希望不明白上述机制的朋友深入去理解思考下。
学习完本节后希望您能去思考如下问题:
1.
SPI机制是否有安全性问题?
2.
Java反射有那些安全问题?
3.
Java类加载机制是什么?
4.
数据库连接时密码安全问题?
5.
使用JDBC如何写一个通用的数据库密码爆破模块?

3 Datasource 数据源

3.1. DataSource

在真实的Java项目中通常不会使用原生的JDBC的DriverManager去连接数据库,而是使用数据源(javax.sql.DataSource)来代替DriverManager管理数据库的连接。一般情况下在Web服务启动时候会预先定义好数据源,有了数据源程序就不再需要编写任何数据库连接相关的代码了,直接引用DataSource对象即可获取数据库连接了。
常见的数据源有:DBCP、C3P0、Druid、Mybatis DataSource,他们都实现于javax.sql.DataSource接口。

3.2 Spring MVC 数据源

在Spring MVC中我们可以自由的选择第三方数据源,通常我们会定义一个DataSource Bean用于配置和初始化数据源对象,然后在Spring中就可以通过Bean注入的方式获取数据源对象了。

在基于XML配置的SpringMVC中配置数据源:

<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
        <property name="url" value="${jdbc.url}"/>
        <property name="username" value="${jdbc.username}"/>
        <property name="password" value="${jdbc.password}"/>
        ....
        />

如上,我们定义了一个id为dataSource的Spring Bean对象,username和password都使用了 j d b c . X X X 表示,很明显 {jdbc.XXX}表示,很明显 jdbc.XXX表示,很明显{jdbc.username}并不是数据库的用户名,这其实是采用了Spring的property-placeholder制定了一个properties文件,使用${jdbc.username}其实会自动自定义的properties配置文件中的配置信息。

<context:property-placeholder location="classpath:/config/jdbc.properties"/>

jdbc.properties内容:

jdbc.driver=com.mysql.jdbc.Driver
jdbc.url=jdbc:mysql://localhost:3306/mysql?autoReconnect=true&zeroDateTimeBehavior=round&useUnicode=true&characterEncoding=UTF-8&useOldAliasMetadataBehavior=true&useOldAliasMetadataBehavior=true&useSSL=false
jdbc.username=root
jdbc.password=root

在Spring中我们只需要通过引用这个Bean就可以获取到数据源了,比如在Spring JDBC中通过注入数据源(ref=“dataSource”)就可以获取到上面定义的dataSource。

<!-- jdbcTemplate Spring JDBC 模版 -->
<bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate" abstract="false" lazy-init="false">
  <property name="dataSource" ref="dataSource"/>
</bean>

SpringBoot配置数据源:
在SpringBoot中只需要在application.properties或application.yml中定义spring.datasource.xxx即可完成DataSource配置。

spring.datasource.url=jdbc:mysql://localhost:3306/mysql?autoReconnect=true&zeroDateTimeBehavior=round&useUnicode=true&characterEncoding=UTF-8&useOldAliasMetadataBehavior=true&useOldAliasMetadataBehavior=true&useSSL=false
spring.datasource.username=root
spring.datasource.password=root
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
Spring 数据源Hack

我们通常可以通过查找Spring数据库配置信息找到数据库账号密码,但是很多时候我们可能会找到非常多的配置项甚至是加密的配置信息,这将会让我们非常的难以确定真实的数据库配置信息。某些时候在授权渗透测试的情况下我们可能会需要传个shell尝试性的连接下数据库(高危操作,请勿违法!)证明下危害,那么您可以在webshell中使用注入数据源的方式来获取数据库连接对象,甚至是读取数据库密码(切记不要未经用户授权违规操作!)。

spring-datasource.jsp获取数据源/执行SQL语句示例

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ page import="org.springframework.context.ApplicationContext" %>
<%@ page import="org.springframework.web.context.support.WebApplicationContextUtils" %>
<%@ page import="javax.sql.DataSource" %>
<%@ page import="java.sql.Connection" %>
<%@ page import="java.sql.PreparedStatement" %>
<%@ page import="java.sql.ResultSet" %>
<%@ page import="java.sql.ResultSetMetaData" %>
<%@ page import="java.util.List" %>
<%@ page import="java.util.ArrayList" %>
<%@ page
最低0.47元/天 解锁文章
b1gpig安全
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【spring】jdbcTemplate之sql参数注入
weixin_30741653的博客
12-11 623
demo @Repository("jdbcDao") public class JdbcTemplateDao { @Autowired private JdbcTemplate jdbcTemplate; @Autowired private NamedParameterJdbcTemplate namedTemplate; private ...
JdbcTemplate
羊咩咩
03-07 1533
PreparedSatement预编对象 目标 能够理解什么是SQL注入 能够理解PreparedSatement的执行原理 讲解 SQL注入问题 在我们前一天JDBC实现登录案例中,当我们输入以下密码,我们发现我们账号和密码都不对竟然登录成功了 请输入用户名: hehe 请输入密码: a' or '1'='1 问题分析: // 代码中的SQL语句 "SELECT * FROM user WH...
spring自带的jdbcTemplate查询、插入预编使用
07-28
简单的jdbcTemplate预编、回调等
Java:driver-class-name: com.mysql.jdbc.Driver爆红
weixin_73538099的博客
04-28 324
driver-class-name: com.mysql.jdbc.Driver爆红的解决方法
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1362
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。
JdbcTemplate防止sql注入攻击的源码解析
阿呆的专栏
09-04 9866
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法
老徐的博客只有干货
03-15 3110
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。
spring-jdbc-tips:Spring JDBCSQLJava
01-28
`JdbcTemplate`提供了基本的SQL执行功能,支持预编的参数化SQL语句,防止SQL注入攻击。而`NamedParameterJdbcTemplate`则更进一步,允许我们使用命名参数,提高了代码可读性。 在Spring JDBC中,数据源...
JDBC-example-in-Java:JDBC应用程序
06-20
PreparedStatement对于防止SQL注入安全,也更适合多次执行相同查询的情况。 4. **执行SQL查询**:使用Statement对象的`executeQuery()`或`executeUpdate()`方法来执行SELECT、INSERT、UPDATE或DELETE语句。`...
JDBC之PreparedStatement类中预编的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编SQL语句的接口,它是Statement的子接口。预编SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编意味着SQL语句在首次执行前已经过编,形成一个...
JAVA 通过 JDBC 连接 SQL Server 2005 的 jar 文件
最新发布
06-23
Java编程中,连接SQL Server 2005数据库通常会用到JDBCJava Database Connectivity)技术。...在使用过程中,确保遵循最佳实践,如使用连接池,正确处理异常,并注意数据库安全,避免SQL注入等问题。
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
项目开发中安全问题及解决方案------sql注入
adru的博客
01-19 542
所谓盲注,指的是注入后并不能从服务器得到任何执行结果(甚至是错误信息),只能寄希望服务器对于 SQL 中的真假条件表现出不同的状态。也就是说,通过在真假条件中加入 SLEEP,来实现通过判断接口的响应时间,知道条件的结果是真还是假。基于时间的盲注原理就是,虽然 不能直接查询出 password 字段的值,但可以按字符逐一来查,判断第一个字符是否是 a、是否是 b……在代码中,我们可以引入p6spy工具打印出所有执行的 SQL,观察 sqlmap 构造的一些 SQL,来分析 其中原理。
JDBC-防止SQL注入
m0_63144452的博客
10-25 955
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql预编。 PreparedStatement利用预编的机制将sql语句的主干
jdbc——sql注入
m0_72960906的博客
10-31 942
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编。导致SQL语句编后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC中的SQL注入
DZH2020的博客
08-14 1114
JDBC中的SQL注入
JdbcTemplate防注入的几种方式
爱笑才不是傻帽的博客
07-18 2707
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
JDBC的复习(三):Sql注入问题和解决
BKSW.的博客
03-01 368
JDBC的复习(三):Sql注入问题和解决 Sql注入问题 用户名: dasa 密码: dasa' or '1' = '1 登陆成功! 根本原因: 用户输入的信息中含有sql语句的关键字,并且这些关键字参与了sql语句的编过程,导致原来的sql语句意思被扭曲,进而达到sql注入。 解决Sql注入 只要用户提供的信息不参与SQl的编过程,就可以解决该问题 即使用户输入的语句中含有SQL语句的关键字,到那时没有参与编,不起作用。 使用PrePareStatement进行sql语句框架的预编
JAVA安全编码手册.pdf
06-09
java安全编码手册

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值