应用软件安全编程--01预防SQL注入

SQL 注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原 SQL 语句的含义,进而执行任意SQL 命令,达到入侵数据库乃至操作系统的目的。防止 SQL 注入的主要方法有:净 化并验证非受信输入,采用参数化查询。

对于预防 SQL 注入的情况,示例1给出了不规范用法(Java 语言)示例。示例2给出了规范用法(Java 语言)示例。

java 复制代码
示例1:

public void doPrivilegedAction(String username,char[] password)

throws SQLException {

Connection connection = getConnection();

//.. .

try {

String  pwd  =  hashPassword(password);

String  sqlString  ="SELECT  *  FROM  db  user  WHERE  username  =""

+    username    +

"AND               password=""+pwd+"";

Statement       stmt       =       connection.createStatement();

ResultSetrs  =  stmt.executeQuery(sqlString);

//.. .

} finally {

try {

connection.close();

}catch(SQLException  x){

//.. .

}

}

}

在这个不规范的代码示例中,使用JDBC来认证用户,提交 stmt.executeQuery(sqlString) 查询的 SQL 为 sqlString,它是通过一个拼接字符串组合而来,并且 sqlString 未经过净化或验证,当 pwd 为OR1=1 时,sqlString 就会变成:SELECT FROM db user WHERE username ="AND password=" OR'1'='1。Statement.executeQuery(String)方法不能防止 SQL 注入,该代码将会引发SQL注入漏洞攻击。

java 复制代码
示例2:

public void doPrivilegedAction(String username,char[] password)

throws SQLException {

Connection connection = getConnection();

try {

String  pwd  =  hashPassword(password);

if  (username.length()>8){

//.

String  sqlString  =

"select  *  from  db  user where username=?  and password=?";

PreparedStatementstmt  =  connection.prepareStatement(sqlString);

stmt.setString(1,username);

stmt.setString(2,pwd);

//.

} finally {


try {

connection.close():

}catch(SQLException  x){

//.

 }

}

在这个规范的代码示例中,采用java.sql.PreparedStatement 执行参数化查询,可以避免含有注入 代码的 SQL 语句提交执行。通过使用prepareStatement类的 set*() 方法,可以进行强类型检查。程 序会正确的转义双引号内的输入数据,以减少SQL 注入漏洞。类似的,对数据的增删改操作也应使用 prepareStatement。

相关推荐
TDengine (老段)10 分钟前
连接 TDengine 遇到报错 “failed to connect to server, reason: Connection refused” 怎么办?
大数据·数据库·物联网·时序数据库·iot·tdengine·涛思数据
FreeBuf_35 分钟前
Spring两大漏洞可导致泄露敏感信息及安全防护绕过(CVE-2025-41253/41254)
java·安全·spring
李慕婉学姐1 小时前
Springboot黄河文化科普网站5q37v(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。
数据库·spring boot·后端
Cabbage_acmer2 小时前
MySQL期中考试突击!
数据库·mysql
南一Nanyi2 小时前
才知道 DNS 还能基于 HTTPS 实现!
网络协议·安全·面试
Lu Yao_2 小时前
Redis 缓存
数据库·redis·缓存
小桥流水人家哇2 小时前
性能测试单场景测试时,是设置并发读多个文件,还是设置不同的用户读不同的文件?
数据库·性能测试技巧
表示这么伤脑筋的题我不会2 小时前
Oracle 21C 部署ogg踩过的坑
数据库·oracle
你不是我我2 小时前
【Java 开发日记】MySQL 与 Redis 如何保证双写一致性?
数据库·redis·缓存
望获linux3 小时前
【实时Linux实战系列】实时 Linux 在边缘计算网关中的应用
java·linux·服务器·前端·数据库·操作系统