日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
不同場(chǎng)景/框架下,如何干掉惡心的SQL注入?

簡(jiǎn)介

成都創(chuàng)新互聯(lián)是一家專(zhuān)注網(wǎng)站建設(shè)、網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃、微信小程序開(kāi)發(fā)、電子商務(wù)建設(shè)、網(wǎng)絡(luò)推廣、移動(dòng)互聯(lián)開(kāi)發(fā)、研究、服務(wù)為一體的技術(shù)型公司。公司成立十年以來(lái),已經(jīng)為1000多家房屋鑒定各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務(wù)?,F(xiàn)在,服務(wù)的1000多家客戶與我們一路同行,見(jiàn)證我們的成長(zhǎng);未來(lái),我們一起分享成功的喜悅。

文章主要內(nèi)容包括:

1、Java 持久層技術(shù)/框架簡(jiǎn)單介紹

2、不同場(chǎng)景/框架下易導(dǎo)致 SQL 注入的寫(xiě)法

3、如何避免和修復(fù) SQL 注入

JDBC

介紹

JDBC:

1、全稱(chēng) Java Database Connectivity

2、是 Java 訪問(wèn)數(shù)據(jù)庫(kù)的 API,不依賴(lài)于特定數(shù)據(jù)庫(kù) ( database-independent )

3、所有 Java 持久層技術(shù)都基于 JDBC

說(shuō)明

直接使用 JDBC 的場(chǎng)景,如果代碼中存在拼接 SQL 語(yǔ)句,那么很有可能會(huì)產(chǎn)生注入,如

 
 
 
    
  
  
  
  1. // concat sql 
    2. 
  
  
  
  2. String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; 
    3. 
  
  
  
  3. Statement stmt = connection.createStatement(); 
    4. 
  
  
  
  4. ResultSet rs = stmt.executeQuery(sql); 
    5.

安全的寫(xiě)法是使用 參數(shù)化查詢 ( parameterized queries ),即 SQL 語(yǔ)句中使用參數(shù)綁定( ? 占位符 ) 和 PreparedStatement,如: 

 
 
 
    
  
  
  
  1. // use ? to bind variables  
    2. 
  
  
  
  2. String sql = "SELECT * FROM users WHERE name= ? "; 
    3. 
  
  
  
  3.  PreparedStatement ps = connection.prepareStatement(sql); 
    4. 
  
  
  
  4. // 參數(shù) index 從 1 開(kāi)始  
    5. 
  
  
  
  5. ps.setString(1, name); 
    6.

還有一些情況,比如 order by、column name,不能使用參數(shù)綁定,此時(shí)需要手工過(guò)濾,如通常 order by 的字段名是有限的,因此可以使用白名單的方式來(lái)限制參數(shù)值

這里需要注意的是,使用了 PreparedStatement 并不意味著不會(huì)產(chǎn)生注入,如果在使用 PreparedStatement 之前,存在拼接 sql 語(yǔ)句,那么仍然會(huì)導(dǎo)致注入,如

 
 
 
    
  
  
  
  1. // 拼接 sql 
    2. 
  
  
  
  2. String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; 
    3. 
  
  
  
  3. PreparedStatement ps = connection.prepareStatement(sql); 
    4.

正常情況下,用戶的輸入是作為參數(shù)值的,而在 SQL 注入中,用戶的輸入是作為 SQL 指令的一部分,會(huì)被數(shù)據(jù)庫(kù)進(jìn)行編譯/解釋執(zhí)行。當(dāng)使用了 PreparedStatement,帶占位符 ( ? ) 的 sql 語(yǔ)句只會(huì)被編譯一次,之后執(zhí)行只是將占位符替換為用戶輸入,并不會(huì)再次編譯/解釋?zhuān)虼藦母旧戏乐沽?SQL 注入問(wèn)題。

更詳細(xì)和準(zhǔn)確的回答,請(qǐng)參考:

https://stackoverflow.com/a/34126564/6467552

Mybatis

介紹

1、首個(gè) class persistence framework

2、介于 JDBC (raw SQL) 和 Hibernate (ORM)

3、簡(jiǎn)化絕大部分 JDBC 代碼、手工設(shè)置參數(shù)和獲取結(jié)果

4、靈活,使用者能夠完全控制 SQL,支持高級(jí)映射

更多請(qǐng)參考: http://www.mybatis.org

說(shuō)明

在 MyBatis 中,使用 XML 文件 或 Annotation 來(lái)進(jìn)行配置和映射,將 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records

XML 例子

Mapper Interface

 
 
 
    
  
  
  
  1. @Mapper 
    2. 
  
  
  
  2. publicinterfaceUserMapper{ 
    3. 
  
  
  
  3. User getById(int id); 
    4. 
  
  
  
    5.

XML 配置文件

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user WHERE id = #{id} 
    3. 
  
  
  
  3.  
    4.

Annotation 例子 

 
 
 
    
  
  
  
  1. @Mapper 
    2. 
  
  
  
  2. publicinterfaceUserMapper{ 
    3. 
  
  
  
  3. @Select("SELECT * FROM user WHERE id= #{id}") 
    4. 
  
  
  
  4. User getById(@Param("id") int id); 
    5. 
  
  
  
    6.

可以看到,使用者需要自己編寫(xiě) SQL 語(yǔ)句,因此當(dāng)使用不當(dāng)時(shí),會(huì)導(dǎo)致注入問(wèn)題

與使用 JDBC 不同的是,MyBatis 使用 #{} 和 ${} 來(lái)進(jìn)行參數(shù)值替換

使用 #{} 語(yǔ)法時(shí),MyBatis 會(huì)自動(dòng)生成 PreparedStatement ,使用參數(shù)綁定 ( ?) 的方式來(lái)設(shè)置值,上述兩個(gè)例子等價(jià)的 JDBC 查詢代碼如下: 

 
 
 
    
  
  
  
  1. String sql = "SELECT * FROM users WHERE id = ?"; 
    2. 
  
  
  
  2. PreparedStatement ps = connection.prepareStatement(sql); 
    3. 
  
  
  
  3. ps.setInt(1, id); 
    4.

因此 #{} 可以有效防止 SQL 注入,詳細(xì)可參考 http://www.mybatis.org/mybatis-3/sqlmap-xml.html String Substitution 部分

而使用 ${} 語(yǔ)法時(shí),MyBatis 會(huì)直接注入原始字符串,即相當(dāng)于拼接字符串,因而會(huì)導(dǎo)致 SQL 注入,如: 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user WHERE name = '${name}' limit 1 
    3. 
  
  
  
  3.  
    4.

name 值為 ' or '1'='1,實(shí)際執(zhí)行的語(yǔ)句為: 

 
 
 
    
  
  
  
  1. SELECT * FROM user WHERE name = ''or'1'='1' limit 1 
    2.

因此建議盡量使用 #{},但有些時(shí)候,如 order by 語(yǔ)句,使用 #{} 會(huì)導(dǎo)致出錯(cuò),如: 

 
 
 
    
  
  
  
  1. ORDER BY #{sortBy} 
    2.

sortBy 參數(shù)值為 name ,替換后會(huì)成為: 

 
 
 
    
  
  
  
  1. ORDER BY "name" 
    2.

即以字符串 “name” 來(lái)排序,而非按照 name 字段排序,詳細(xì)可參考 https://stackoverflow.com/a/32996866/6467552

這種情況就需要使用 ${} 

 
 
 
    
  
  
  
  1. ORDER BY ${sortBy} 
    2.

使用了 ${}后,使用者需要自行過(guò)濾輸入,方法有:

代碼層使用白名單的方式,限制 sortBy 允許的值,如只能為 name, email 字段,異常情況則設(shè)置為默認(rèn)值 name在 XML 配置文件中,使用 if 標(biāo)簽來(lái)進(jìn)行判斷

Mapper 接口方法

 
 
 
    
  
  
  
  1. List getUserListSortBy(@Param("sortBy") String sortBy); 
    2.

xml 配置文件 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user 
    3. 
  
  
  
  3.  
    4. 
  
  
  
  4. order by ${sortBy} 
    5. 
  
  
  
  5.  
    6. 
  
  
  
  6.  
    7.

因?yàn)?Mybatis 不支持 else,需要默認(rèn)值的情況,可以使用 choose(when,otherwise) 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user 
    3. 
  
  
  
  3.  
    4. 
  
  
  
  4.  
    5. 
  
  
  
  5. order by ${sortBy} 
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7.  
    8. 
  
  
  
  8. order by name 
    9. 
  
  
  
  9.   
    10. 
  
  
  
  10.  
    11. 
  
  
  
  11.  
    12.

更多場(chǎng)景

除了 orderby之外,還有一些可能會(huì)使用到 ${} 情況,可以使用其他方法避免,如:

like 語(yǔ)句

如需要使用通配符 ( wildcard characters % 和 _) ,可以在代碼層,在參數(shù)值兩邊加上 %,然后再使用 #{} 使用 bind 標(biāo)簽來(lái)構(gòu)造新參數(shù),然后再使用 #{}

Mapper 接口方法

 
 
 
    
  
  
  
  1. List getUserListLike(@Param("name") String name); 
    2.

xml 配置文件 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3. SELECT * FROM user 
    4. 
  
  
  
  4. WHERE name LIKE #{pattern} 
    5. 
  
  
  
  5.  
    6.

語(yǔ)句內(nèi)的 value 為 OGNL expression,具體可參考 http://www.mybatis.org/mybatis-3/dynamic-sql.htmlbind 部分

使用 SQL concat() 函數(shù) 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%') 
    3. 
  
  
  
  3.  
    4.

除了注入問(wèn)題之外,這里還需要對(duì)用戶的輸入進(jìn)行過(guò)濾,不允許有通配符,否則在表中數(shù)據(jù)量較多的時(shí)候,假設(shè)用戶輸入為 %%,會(huì)進(jìn)行全表模糊查詢,嚴(yán)重情況下可導(dǎo)致 DOS

參考:http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe

IN 條件

  • 使用 和 #{}
  • Mapper 接口方法 
 
 
 
    
  
  
  
  1. List getUserListIn(@Param("nameList") List nameList); 
    2.

xml 配置文件 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user WHERE name in 
    3. 
  
  
  
  3. 
  
  
  
  4. open="("separator=","close=")"> 
    5. 
  
  
  
  5. #{name} 
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7.  
    8.

具體可參考 http://www.mybatis.org/mybatis-3/dynamic-sql.html foreach 部分

limit 語(yǔ)句

1、直接使用 #{} 即可

2、Mapper 接口方法

 
 
 
    
  
  
  
  1. List getUserListLimit(@Param("offset") int offset, @Param("limit") int limit); 
    2.

xml 配置文件 

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2. SELECT * FROM user limit #{offset}, #{limit} 
    3. 
  
  
  
  3.  
    4.

JPA & Hibernate

介紹

JPA:

1、全稱(chēng) Java Persistence API

2、ORM (object-relational mapping) 持久層 API,需要有具體的實(shí)現(xiàn)

更多請(qǐng)參考 https://en.wikipedia.org/wiki/JavaPersistenceAPI

Hibernate:

JPA ORM 實(shí)現(xiàn)

更多請(qǐng)參考 http://hibernate.org

說(shuō)明

這里有一種錯(cuò)誤的認(rèn)識(shí),使用了 ORM 框架,就不會(huì)有 SQL 注入。而實(shí)際上,在 Hibernate 中,支持 HQL (Hibernate Query Language) 和 native sql 查詢,前者存在 HQL 注入,后者和之前 JDBC 存在相同的注入問(wèn)題,來(lái)具體看一下

HQL

HQL 查詢例子

 
 
 
    
  
  
  
  1. Query query = session.createQuery("from User where name = '"+ name + "'", User.class); 
    2. 
  
  
  
  2. User user = query.getSingleResult(); 
    3.

這里的 User 為類(lèi)名,和原生 SQL 類(lèi)似,拼接會(huì)導(dǎo)致注入

正確的用法:

位置參數(shù) (Positional parameter)

 
 
 
    
  
  
  
  1. Query query = session.createQuery("from User where name = ?", User.class); 
    2. 
  
  
  
  2. query.setParameter(0, name); 
    3.

命名參數(shù) (named parameter)

 
 
 
    
  
  
  
  1. Query query = session.createQuery("from User where name = :name", User.class); 
    2. 
  
  
  
  2. query.setParameter("name", name); 
    3.

命名參數(shù) list (named parameter list)

 
 
 
    
  
  
  
  1. Query query = session.createQuery("from User where name in (:nameList)", User.class); 
    2. 
  
  
  
  2. query.setParameterList("nameList", Arrays.asList("lisi", "zhaowu")); 
    3.

類(lèi)實(shí)例 (JavaBean)

 
 
 
    
  
  
  
  1. User user = newUser(); 
    2. 
  
  
  
  2. user.setName("zhaowu"); 
    3. 
  
  
  
  3. Query query = session.createQuery("from User where name = :name", User.class); 
    4. 
  
  
  
  4. // User 類(lèi)需要有 getName() 方法 
    5. 
  
  
  
  5. query.setProperties(user); 
    6.

Native SQL

存在 SQL 注入 

 
 
 
    
  
  
  
  1. String sql = "select * from user where name = '"+ name + "'"; 
    2. 
  
  
  
  2. // deprecated 
    3. 
  
  
  
  3. // Query query = session.createSQLQuery(sql); 
    4. 
  
  
  
  4. Query query = session.createNativeQuery(sql); 
    5.

使用參數(shù)綁定來(lái)設(shè)置參數(shù)值

 
 
 
    
  
  
  
  1. String sql = "select * from user where name = :name"; 
    2. 
  
  
  
  2. // deprecated 
    3. 
  
  
  
  3. // Query query = session.createSQLQuery(sql); 
    4. 
  
  
  
  4. Query query = session.createNativeQuery(sql); 
    5. 
  
  
  
  5. query.setParameter("name", name); 
    6.

JPA

JPA 中使用 JPQL (Java Persistence Query Language),同時(shí)也支持 native sql,因此和 Hibernate 存在類(lèi)似的問(wèn)題,這里就不再細(xì)說(shuō)。


本文題目:不同場(chǎng)景/框架下,如何干掉惡心的SQL注入?
文章分享:http://www.dlmjj.cn/article/djjijig.html