sql注入攻击

作者: AKyS佐毅 | 来源:发表于2018-09-18 22:57 被阅读126次

1、注射式攻击的原理

  • SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了
public static void main(String[] args) throws Exception {
        Scanner sc = new Scanner(System.in);
        System.out.println("账号:");
        String uid = sc.nextLine();
        System.out.println("密码:");
        String pwd = sc.nextLine();
        
        Class.forName("com.mysql.jdbc.Driver");
        
        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb?characterEncoding=GBK","root","");
        
        Statement state = conn.createStatement();
        
        String sql = "select * from users where user ='"+uid+"' and password ='"+pwd+"' ";
        ResultSet rs = state.executeQuery(sql);
        boolean ok = rs.next();
        if(ok){
            System.out.println("欢迎"+rs.getString(3)+"回来");
        }
        else{
            System.out.println("您输入的账号密码错误");
        }
        
        conn.close();
}

我们正常输入账号密码是运行正确的,但是当我们账号输入:kjaskj' or 1=1 # 密码输入:klkjl; 就会出现以下的结果:

欢迎张三回来

这里,关键在 账号里面的那个单引号 “ ‘ ’”和后面 or 1=1以及#号(我们这里用的是mysql,oracle后面用 --)。这样查询语句就变成了:

select * from users where user ='kjaskj'or1=1#' and password ='"+pwd+"' 

该双划符号#告诉SQL解析器,右边的东西全部是注释,所以不必理会。这样,查询字符串相当于:

select * from users where user =''OR1=1. 这样输出的就是ture。 就能不用账号密码直接进入。

2、如何防御?

  • 1)对一些特殊字符作转义;
/**正则表达式**/
    private static String reg = "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"
                                + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";
 
// \\b  表示 限定单词边界  比如  select 不通过   1select则是可以的
    private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);
 
 private boolean isValid(String str)
    {
        if (sqlPattern.matcher(str).find())
        {
            logger.error("未能通过过滤器:str=" + str);
            return false;
        }
        return true;
    }  
  • 2)拼写SQL的时候不要拼接参数,要使用绑定变量的形式;

  • 3)使用mybatis框架的话,占位符要使用#{},不要使用${},#{}默认会把所有参数用引号包起来,${}不会;

相关文章

网友评论

    本文标题:sql注入攻击

    本文链接:https://www.haomeiwen.com/subject/xjavnftx.html