第3章--SQL注入与防范

SQL注入与防范

经常遇到的问题:数据安全问题,尤其是sql注入导致的数据库的安全漏洞

国内著名漏洞曝光平台:WooYun.org

数据库泄露的风险:用户信息、交易信息的泄露等

什么是SQL数据库注入?

Web应用下,终端用户是无法直接访问数据库的,他们必须通过发送http请求到Java服务器,由Java服务器访问后端数据库。因此,恶意用户想要获取数据库中的数据,必须通过Java服务器来访问后端数据库而无法绕行。他们的唯一途径就是利用应用程序的漏洞,伪装自己的请求,欺骗业务程序,达到访问数据库的目的。

之前学习的代码:用户登录场景

User user = null;

String sql = "select * from user where userName = '" + userName

    + "' and password = '" + password + "'";

rs = stmt.executeQuery(sql);

while(rs.next()) {

    user = new User();

    user.setUserName(rs.getString("userName"));

    user.setCardNum(rs.getString("cardNum"));

}

return user;

Java应用程序接收到用户的输入后,检索后端数据库,匹配数据库记录。

如果:

用户输入为ZhangSan’;--  密码随便输入(因为不知道真实密码)

也会登陆成功,为什么呢?

select * from user where userName = 'ZhangSan'; -- 'and password='111';

密码条件被注释

总结:数据库注入就是用户在输入部分输入SQL命令,破坏原有SQL的语义,以达到欺骗服务器并发送恶意SQL的业务程序的漏洞。

原因:SQL语句为动态拼接的,语义未知。

解决方案:除了动态拼接,还有什么办法能使用web传入的参数呢?

参数化sql的实现:1. 确定sql的语义;2. 传入参数

利用Connection对象的.preparedStatement(sql)方法;

preparedStatement()相对于Statement的最大优点:提供了参数化sql的实现(格式化的sql)

select * from user where userName = ? and password = ?

?为占位符,替代了一个参数。sql的语义确定了。

根据参数的类型:.setInt(); .setString(); .setBoolean(); 来替代参数化sql中的占位符。

除了使用PreparedStatement,我们还应该有一些其他的注意事项:

1. 执行严格的数据库权限管理

仅给予Web应用访问数据库的最小权限

严格禁止Drop table等权限

2. 封装数据库错误:不能将数据库异常直接暴露给用户(因为数据库异常通常包含了大量的数据库信息)

禁止直接将后端数据库异常信息暴露给用户

对后端异常信息进行必要的封装,避免用户直接查看到后端异常

3. 机密信息禁止明文存储

涉密信息需要加密处理

针对MySQL,可使用AES_ENCRYPT/AES_DECRYPT进行加密和解密

课堂交流区:

其他的SQL注入场景:可以使用 "or 1"

i.e. select name from student where name = '' or 1; -- '';

会返回所有

SQL注入与防范单元测试

本次得分为:100.00/100.00, 本次测试的提交时间为:2017-08-24
1多选(40分)

以下哪项描述是正确的?

  • A.PreparedStatement可以实现参数化SQL,防止SQL注入的风险。13.33/40.00
  • B.SQL注入的本质是因为外部用户恶意改变了原有程序的执行语义,导致数据泄露。13.33/40.00
  • C.SQL注入可以导致外部用户获取整个数据库的信息。13.33/40.00
  • D.使用PreparedStatement,如果用户使用SQL注释符,也可能会改变SQL的语义执行。
2判断(10分)

SQL 注入是由于应用程序动态拼接SQL,用户利用该漏洞,注入特殊SQL语句,导致应用程序执行恶意SQL命令的现象。

  • A.√10.00/10.00
  • B.×
3判断(10分)

Statement接口可以实现参数化SQL,防止动态拼接SQL导致的SQL注入漏洞。

  • A.×10.00/10.00
  • B.√
4判断(10分)

应谨慎给予用户Delete权限,防止用户数据被恶意删除。

  • A.×
  • B.√10.00/10.00
5判断(10分)

SQL注入漏洞是由于数据库密码泄露,导致用户登陆到数据库上执行了恶意操作。

  • A.√
  • B.×10.00/10.00
6判断(10分)

PreparedStatement需要设置格式化SQL语句,格式化SQL语句就是将SQL的参数使用占位符替代的SQL语句。

  • A.×
  • B.√10.00/10.00
7判断(10分)

应用程序需要捕获SQL异常,将异常信息展现给用户,方便用户处理。

  • A.√
  • B.×10.00/10.00

SQL注入与防范单元作业

请完成SQL注入与防范的编程题目。

1(100分)

有一张学生表

id name number
1 XiaoMing 100
2 XiaoLi 101
3 XiaoZhao 102

现在需要根据学生名称获取学生的期末考试分数。

public static void getStudent(String name) throws ClassNotFoundException {

    Connection conn = null;

    Statement stmt = null;

    ResultSet rs = null;

    try {

      Class.forName(JDBC_DRIVER);

      conn = DriverManager.getConnection(DB_URL, USER, PASS);

      stmt = conn.createStatement();

      rs = stmt.executeQuery("select name,score from student where name =' " + name +"'");

      while (rs.next()) {

        System.out.println(rs.getString("name") + ":" + rs.getInt("score"));

      }

    } catch (SQLException e) {

      // ignore

    } finally {

      if (rs != null) {

        try {

          rs.close();

        } catch (Exception e) {

          // ignore

        }

      }

      if (stmt != null) {

        try {

          stmt.close();

        } catch (Exception e) {

          // ignore

        }

      }

      if (conn != null) {

        try {

          conn.close();

        } catch (SQLException e) {

          // ignore

        }

      }

    }

}

1. 请指出上面这段程序存在什么安全风险?并给出具体的测试用例。

2. 请重新编写应用程序,解决上述风险。

答:

  1. 安全风险:上述程序使用Statement对象,有SQL注入的风险。

  2. 程序错误:

    1. stmt.executeQuery(sql)中的sql语句有误,多了一个空格导致

    "select name,number from student where name ='  XiaoZhao'" 返回的为empty set

    2. 数据库中columns分别为id, name和number,而程序中select语句包含的attributes为name和number

  3. SQL注入测试用例:

    getStudent("' or 1;#");

  4. 解决SQL注入、修改错误后的代码:

import java.sql.Connection;

import java.sql.DriverManager;

//import java.sql.Statement;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

public class Assignment {

    static final String JDBC_DRIVER = "com.mysql.jdbc.Driver";

    static final String DB_URL = "jdbc:mysql://localhost/helloworld";

    static final String USER = "matt";

    static final String PASS = "matt";

    public static void getStudent(String name) throws ClassNotFoundException {

        Connection conn = null;

//        Statement stmt = null;

        PreparedStatement ptmt = null;

        ResultSet rs = null;

        try {

            Class.forName(JDBC_DRIVER);

            conn = DriverManager.getConnection(DB_URL, USER, PASS);

//            stmt = conn.createStatement();

            String sql = "select name,number from student where name = ?";

            ptmt = conn.prepareStatement(sql);

            ptmt.setString(1, name);

//            rs = stmt.executeQuery("select name,number from student where name =' " + name +"'");

            rs = ptmt.executeQuery();

            while (rs.next()) {

                System.out.println(rs.getString("name") + ":" + rs.getInt("number"));

            }

        } catch (SQLException e) {

            // ignore

        } finally {

            if (rs != null) {

                try {

                    rs.close();

                } catch (Exception e) {

                    // ignore

                }

            }

//            if (stmt != null) {

            if (ptmt != null) {

                try {

//                    stmt.close();

                    ptmt.close();

                } catch (Exception e) {

                    // ignore

                }

            }

            if (conn != null) {

                try {

                    conn.close();

                } catch (SQLException e) {

                    // ignore

                }

            }

        }

    }

    public static void main (String[] args) throws ClassNotFoundException {

        getStudent("XiaoZhao");

        getStudent("' or 1;#");

    }

}

Java开发工程师(Web方向) - 03.数据库开发 - 第3章.SQL注入与防范的更多相关文章

  1. Java开发工程师(Web方向) - 03.数据库开发 - 第1章.JDBC

    第1章--JDBC JDBC基础 通过Java Database Connectivity可以实现Java程序对后端数据库的访问 一个完整的数据库部署架构,通常是由客户端和服务器端两部分组成 客户端封 ...

  2. Java开发工程师(Web方向) - 03.数据库开发 - 第5章.MyBatis

    第5章--MyBatis MyBatis入门 Abstract: 数据库框架的工作原理和使用方法(以MyBatis为例) 面向对象的世界与关系型数据库的鸿沟: 面向对象世界中的数据是对象: 关系型数据 ...

  3. Java开发工程师(Web方向) - 03.数据库开发 - 第4章.事务

    第4章--事务 事务原理与开发 事务Transaction: 什么是事务? 事务是并发控制的基本单位,指作为单个逻辑工作单元执行的一系列操作,且逻辑工作单元需满足ACID特性. i.e. 银行转账:开 ...

  4. Java开发工程师(Web方向) - 03.数据库开发 - 第2章.数据库连接池

    第2章--数据库连接池 数据库连接池 一般而言,在实际开发中,往往不是直接使用JDBC访问后端数据库,而是使用数据库连接池的机制去管理数据库连接,来实现对后端数据库的访问. 建立Java应用程序到后端 ...

  5. Java开发工程师(Web方向) - 03.数据库开发 - 期末考试

    期末考试 编程题 本编程题包含4个小题,覆盖知识点从基础的JDBC.连接池到MyBatis. 1(10分) 有一款在线教育产品“天天向上”主要实现了在手机上查看课程表的功能.该产品的后端系统有一张保存 ...

  6. Java开发工程师(Web方向) - 04.Spring框架 - 第2章.IoC容器

    第2章.IoC容器 IoC容器概述 abstract: 介绍IoC和bean的用处和使用 IoC容器处于整个Spring框架中比较核心的位置:Core Container: Beans, Core, ...

  7. Java开发工程师(Web方向) - 04.Spring框架 - 第1章.Spring概述

    第1章.Spring概述 Spring概述 The Spring Framework is a lightweight solution and a potential one-stop-shop f ...

  8. Java开发工程师(Web方向) - 02.Servlet技术 - 第3章.Servlet应用

    第3章.Servlet应用 转发与重定向 转发:浏览器发送资源请求到ServletA后,ServletA传递请求给ServletB,ServletB生成响应后返回给浏览器. 请求转发:forward: ...

  9. Java开发工程师(Web方向) - 02.Servlet技术 - 第2章.Cookie与Session

    第2章--Cookie与Session Cookie与Session 浏览器输入地址--HTTP请求--Servlet--HTTP响应--浏览器接收 会话(session):打开浏览器,打开一系列页面 ...

随机推荐

  1. [转]SQL Server 安全性概論與無法刪除資料庫使用者的解決辦法

    經常有人來問我特定 SQL Server 資料庫裡的使用者無法刪除的問題,這問題其實跟 SQL Server 的安全性架構有很大關係,解決這個問題當然還是瞭解觀念的重要性大於知道如何解決問題.除了講解 ...

  2. 在Mac机器上给ITerm2配置lrzsz,便捷的传输文件到远程服务器上

    可直接参考文档:http://danqingdani.blog.163.com/blog/static/18609419520141201215750 需要使用到的github脚本:https://g ...

  3. OC和C语言比较

    说明:比较记忆相对来说更容易熟练记得牢固,理解了C语言相对来说OC也不太难,OC是C语言的扩展,向下兼容C语言. 源文件后缀名比较 1.C语言源文件 .h:头文件 .c:源文件 .o:目标文件 .ou ...

  4. Google 和 Baidu 常用的搜索技巧

    Google 常用的搜索技巧 1. 精确搜索:双引号 精确搜索,就是在你要搜索的词上,加上双引号,这个Google搜索引擎,就会完全的匹配你所要的词 2. 站内搜索:site 这是一个比较常用的搜索方 ...

  5. Android 中Dialog的使用

    本文是参考ProAndroid的第10章Working with Dialogs的内容,在合适的地方添加了作者自己的一些见解最终成文. Android 中的对话框是一个展示在当前窗口上的小一号的窗口, ...

  6. JavaScript字符串的处理方法

    1.字符方法charAt()和charCodeAt();这两个方法都接收一个参数 var stringValue = "hello world"; stringValue.char ...

  7. 发送邮箱验证码、session校验

    本篇主要描述“发送邮箱验证码.session校验”相关前(html\js)后(java)台代码,业务逻辑示例,闲话少诉,直接上代码. 1.引入的jar包是mail-1.4.jar 2.java底层发送 ...

  8. Spring Boot 多环境部署

    再简单的应用系统,通常都有两个环境——开发环境和线上环境.大型的企业应用还会有更多的环境,比如测试环境.准线上环境.演示环境等.应用的版本也可能对应了多个环境,比如1.0版本的演示环境.2.0版本的演 ...

  9. 【Hive三】Hive理论

    1. Hive基础 1. Hive基础 Hive基本概念 引入原因: Hive是什么 Hive数据管理 四种数据模型 Hive内部表和外部表 Hive数据类型 Hive的优化 Map的优化: Redu ...

  10. python应用:爬虫框架Scrapy系统学习第三篇——初识scrapy

    scrapy的最通用的爬虫流程:UR2IM U:URL R2:Request 以及 Response I:Item M:More URL 在scrapy shell中打开服务器一个网页 cmd中执行: ...