第3章--SQL注入与防范

SQL注入与防范

经常遇到的问题:数据安全问题,尤其是sql注入导致的数据库的安全漏洞

国内著名漏洞曝光平台:WooYun.org

数据库泄露的风险:用户信息、交易信息的泄露等

什么是SQL数据库注入?

Web应用下,终端用户是无法直接访问数据库的,他们必须通过发送http请求到Java服务器,由Java服务器访问后端数据库。因此,恶意用户想要获取数据库中的数据,必须通过Java服务器来访问后端数据库而无法绕行。他们的唯一途径就是利用应用程序的漏洞,伪装自己的请求,欺骗业务程序,达到访问数据库的目的。

之前学习的代码:用户登录场景

User user = null;

String sql = "select * from user where userName = '" + userName

    + "' and password = '" + password + "'";

rs = stmt.executeQuery(sql);

while(rs.next()) {

    user = new User();

    user.setUserName(rs.getString("userName"));

    user.setCardNum(rs.getString("cardNum"));

}

return user;

Java应用程序接收到用户的输入后,检索后端数据库,匹配数据库记录。

如果:

用户输入为ZhangSan’;--  密码随便输入(因为不知道真实密码)

也会登陆成功,为什么呢?

select * from user where userName = 'ZhangSan'; -- 'and password='111';

密码条件被注释

总结:数据库注入就是用户在输入部分输入SQL命令,破坏原有SQL的语义,以达到欺骗服务器并发送恶意SQL的业务程序的漏洞。

原因:SQL语句为动态拼接的,语义未知。

解决方案:除了动态拼接,还有什么办法能使用web传入的参数呢?

参数化sql的实现:1. 确定sql的语义;2. 传入参数

利用Connection对象的.preparedStatement(sql)方法;

preparedStatement()相对于Statement的最大优点:提供了参数化sql的实现(格式化的sql)

select * from user where userName = ? and password = ?

?为占位符,替代了一个参数。sql的语义确定了。

根据参数的类型:.setInt(); .setString(); .setBoolean(); 来替代参数化sql中的占位符。

除了使用PreparedStatement,我们还应该有一些其他的注意事项:

1. 执行严格的数据库权限管理

仅给予Web应用访问数据库的最小权限

严格禁止Drop table等权限

2. 封装数据库错误:不能将数据库异常直接暴露给用户(因为数据库异常通常包含了大量的数据库信息)

禁止直接将后端数据库异常信息暴露给用户

对后端异常信息进行必要的封装,避免用户直接查看到后端异常

3. 机密信息禁止明文存储

涉密信息需要加密处理

针对MySQL,可使用AES_ENCRYPT/AES_DECRYPT进行加密和解密

课堂交流区:

其他的SQL注入场景:可以使用 "or 1"

i.e. select name from student where name = '' or 1; -- '';

会返回所有

SQL注入与防范单元测试

本次得分为:100.00/100.00, 本次测试的提交时间为:2017-08-24
1多选(40分)

以下哪项描述是正确的?

  • A.PreparedStatement可以实现参数化SQL,防止SQL注入的风险。13.33/40.00
  • B.SQL注入的本质是因为外部用户恶意改变了原有程序的执行语义,导致数据泄露。13.33/40.00
  • C.SQL注入可以导致外部用户获取整个数据库的信息。13.33/40.00
  • D.使用PreparedStatement,如果用户使用SQL注释符,也可能会改变SQL的语义执行。
2判断(10分)

SQL 注入是由于应用程序动态拼接SQL,用户利用该漏洞,注入特殊SQL语句,导致应用程序执行恶意SQL命令的现象。

  • A.√10.00/10.00
  • B.×
3判断(10分)

Statement接口可以实现参数化SQL,防止动态拼接SQL导致的SQL注入漏洞。

  • A.×10.00/10.00
  • B.√
4判断(10分)

应谨慎给予用户Delete权限,防止用户数据被恶意删除。

  • A.×
  • B.√10.00/10.00
5判断(10分)

SQL注入漏洞是由于数据库密码泄露,导致用户登陆到数据库上执行了恶意操作。

  • A.√
  • B.×10.00/10.00
6判断(10分)

PreparedStatement需要设置格式化SQL语句,格式化SQL语句就是将SQL的参数使用占位符替代的SQL语句。

  • A.×
  • B.√10.00/10.00
7判断(10分)

应用程序需要捕获SQL异常,将异常信息展现给用户,方便用户处理。

  • A.√
  • B.×10.00/10.00

SQL注入与防范单元作业

请完成SQL注入与防范的编程题目。

1(100分)

有一张学生表

id name number
1 XiaoMing 100
2 XiaoLi 101
3 XiaoZhao 102

现在需要根据学生名称获取学生的期末考试分数。

public static void getStudent(String name) throws ClassNotFoundException {

    Connection conn = null;

    Statement stmt = null;

    ResultSet rs = null;

    try {

      Class.forName(JDBC_DRIVER);

      conn = DriverManager.getConnection(DB_URL, USER, PASS);

      stmt = conn.createStatement();

      rs = stmt.executeQuery("select name,score from student where name =' " + name +"'");

      while (rs.next()) {

        System.out.println(rs.getString("name") + ":" + rs.getInt("score"));

      }

    } catch (SQLException e) {

      // ignore

    } finally {

      if (rs != null) {

        try {

          rs.close();

        } catch (Exception e) {

          // ignore

        }

      }

      if (stmt != null) {

        try {

          stmt.close();

        } catch (Exception e) {

          // ignore

        }

      }

      if (conn != null) {

        try {

          conn.close();

        } catch (SQLException e) {

          // ignore

        }

      }

    }

}

1. 请指出上面这段程序存在什么安全风险?并给出具体的测试用例。

2. 请重新编写应用程序,解决上述风险。

答:

  1. 安全风险:上述程序使用Statement对象,有SQL注入的风险。

  2. 程序错误:

    1. stmt.executeQuery(sql)中的sql语句有误,多了一个空格导致

    "select name,number from student where name ='  XiaoZhao'" 返回的为empty set

    2. 数据库中columns分别为id, name和number,而程序中select语句包含的attributes为name和number

  3. SQL注入测试用例:

    getStudent("' or 1;#");

  4. 解决SQL注入、修改错误后的代码:

import java.sql.Connection;

import java.sql.DriverManager;

//import java.sql.Statement;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

public class Assignment {

    static final String JDBC_DRIVER = "com.mysql.jdbc.Driver";

    static final String DB_URL = "jdbc:mysql://localhost/helloworld";

    static final String USER = "matt";

    static final String PASS = "matt";

    public static void getStudent(String name) throws ClassNotFoundException {

        Connection conn = null;

//        Statement stmt = null;

        PreparedStatement ptmt = null;

        ResultSet rs = null;

        try {

            Class.forName(JDBC_DRIVER);

            conn = DriverManager.getConnection(DB_URL, USER, PASS);

//            stmt = conn.createStatement();

            String sql = "select name,number from student where name = ?";

            ptmt = conn.prepareStatement(sql);

            ptmt.setString(1, name);

//            rs = stmt.executeQuery("select name,number from student where name =' " + name +"'");

            rs = ptmt.executeQuery();

            while (rs.next()) {

                System.out.println(rs.getString("name") + ":" + rs.getInt("number"));

            }

        } catch (SQLException e) {

            // ignore

        } finally {

            if (rs != null) {

                try {

                    rs.close();

                } catch (Exception e) {

                    // ignore

                }

            }

//            if (stmt != null) {

            if (ptmt != null) {

                try {

//                    stmt.close();

                    ptmt.close();

                } catch (Exception e) {

                    // ignore

                }

            }

            if (conn != null) {

                try {

                    conn.close();

                } catch (SQLException e) {

                    // ignore

                }

            }

        }

    }

    public static void main (String[] args) throws ClassNotFoundException {

        getStudent("XiaoZhao");

        getStudent("' or 1;#");

    }

}

Java开发工程师(Web方向) - 03.数据库开发 - 第3章.SQL注入与防范的更多相关文章

  1. Java开发工程师(Web方向) - 03.数据库开发 - 第1章.JDBC

    第1章--JDBC JDBC基础 通过Java Database Connectivity可以实现Java程序对后端数据库的访问 一个完整的数据库部署架构,通常是由客户端和服务器端两部分组成 客户端封 ...

  2. Java开发工程师(Web方向) - 03.数据库开发 - 第5章.MyBatis

    第5章--MyBatis MyBatis入门 Abstract: 数据库框架的工作原理和使用方法(以MyBatis为例) 面向对象的世界与关系型数据库的鸿沟: 面向对象世界中的数据是对象: 关系型数据 ...

  3. Java开发工程师(Web方向) - 03.数据库开发 - 第4章.事务

    第4章--事务 事务原理与开发 事务Transaction: 什么是事务? 事务是并发控制的基本单位,指作为单个逻辑工作单元执行的一系列操作,且逻辑工作单元需满足ACID特性. i.e. 银行转账:开 ...

  4. Java开发工程师(Web方向) - 03.数据库开发 - 第2章.数据库连接池

    第2章--数据库连接池 数据库连接池 一般而言,在实际开发中,往往不是直接使用JDBC访问后端数据库,而是使用数据库连接池的机制去管理数据库连接,来实现对后端数据库的访问. 建立Java应用程序到后端 ...

  5. Java开发工程师(Web方向) - 03.数据库开发 - 期末考试

    期末考试 编程题 本编程题包含4个小题,覆盖知识点从基础的JDBC.连接池到MyBatis. 1(10分) 有一款在线教育产品“天天向上”主要实现了在手机上查看课程表的功能.该产品的后端系统有一张保存 ...

  6. Java开发工程师(Web方向) - 04.Spring框架 - 第2章.IoC容器

    第2章.IoC容器 IoC容器概述 abstract: 介绍IoC和bean的用处和使用 IoC容器处于整个Spring框架中比较核心的位置:Core Container: Beans, Core, ...

  7. Java开发工程师(Web方向) - 04.Spring框架 - 第1章.Spring概述

    第1章.Spring概述 Spring概述 The Spring Framework is a lightweight solution and a potential one-stop-shop f ...

  8. Java开发工程师(Web方向) - 02.Servlet技术 - 第3章.Servlet应用

    第3章.Servlet应用 转发与重定向 转发:浏览器发送资源请求到ServletA后,ServletA传递请求给ServletB,ServletB生成响应后返回给浏览器. 请求转发:forward: ...

  9. Java开发工程师(Web方向) - 02.Servlet技术 - 第2章.Cookie与Session

    第2章--Cookie与Session Cookie与Session 浏览器输入地址--HTTP请求--Servlet--HTTP响应--浏览器接收 会话(session):打开浏览器,打开一系列页面 ...

随机推荐

  1. vue使用element案列

    第一步:使用vue创建项目‘ 第二步:在项目添加element cmd:vue add element demo:https://github.com/weibanggang/vuemode.git

  2. C语言输入输出函数总结

    常见函数: FILE *p char ch char buf[max] fopen("filename","ab")//打开名为filename的文件并返回一个 ...

  3. 谷歌浏览器添加flash白名单

    69以前的版本: 打开 chrome://settings/content/flash 上图中应该有一个"添加"选项 , 依次输入: *.]com [*.]net [*.]org ...

  4. .Net Core使用Redis-从安装到使用

    一.安装 本文使用的操作系统是Centos7 在Redis中文网下载最新的Redis压缩包:http://www.redis.cn/ 把包上传到Liunx服务器上,cd 到包所在的目录执行以下命令 # ...

  5. Java软件开发者,如何学习大数据?

    正常来讲学习大数据之前都要做到以下几点 1.学习基础的编程语言(java,python) 2.掌握入门编程基础(linux操作,数据库操作.git操作) 3.学习大数据里面的各种框架(hadoop.h ...

  6. QP-nano结构分析

    QP-nano是QP的一个裁剪版本,是一个通用的.可移植的.超轻量级的事件驱动型框架.适用于像8051.PIC.AVR.MSP430.68HC01/11/12.R8C/Tiny等资源受限的8位和16位 ...

  7. 『Python基础-5』数字,运算,转换

    『Python基础-5』数字,运算,转换 目录 基本的数字类型 二进制,八进制,十六进制 数字类型间的转换 数字运算 1. 数字类型 Python 数字数据类型用于存储数学上的值,比如整数.浮点数.复 ...

  8. MCUXpresso release build 时提示GFLIB等函数未引用的问题

    MCUXpresso release build 时提示 GFLIB 等函数未引用的问题 最近在使用 MCUXpresso 编译工程时选择 Debug(Debug build) 能顺利编译,但是选择 ...

  9. 观看杨老师(杨旭)Asp.Net Core MVC入门教程记录

    观看杨老师(杨旭)Asp.Net Core MVC入门教程记录 ASP.NET Core MVC入门 Asp.Net Core启动和配置 Program类,Main方法 Startup类 依赖注入,I ...

  10. [Real World Haskell翻译]第20章 Haskell系统编程

    第20章 Haskell系统编程 到目前为止,我们已经讨论了大多数的高层次的概念.Haskell也可以用于较低级别的系统编程.很可能是用haskell编写出底层的与操作系统接口的程序. 在本章中,我们 ...