【JDBC】如何保护 JDBC 应用程序免受 SQL 注入的影响

news2024/10/7 14:32:21

本文仅供学习参考!
相关教程地址:
https://zhuanlan.zhihu.com/p/397815893
https://www.freebuf.com/articles/web/339118.html
https://www.developer.com/design/how-to-protect-a-jdbc-application-against-sql-injection/

在这里插入图片描述

概述

在关系数据库管理系统 (RDBMS) 中,有一种特定的语言称为 SQL(结构化查询语言),用于与数据库进行通信。用 SQL 编写的查询语句用于操作数据库的内容和结构。创建和修改数据库结构的特定 SQL 语句称为 DDL(数据定义语言)语句,操作数据库内容的语句称为 DML(数据操作语言)语句。与 RDBMS 包关联的引擎解析和解释 SQL 语句,并相应地返回结果。这是与RDBMS通信的典型过程 - 触发SQL语句并返回结果,仅此而已。系统不会判断任何符合语言语法和语义结构的语句的意图。这也意味着没有身份验证或验证过程来检查谁触发了语句以及获取输出的权限。攻击者可以简单地恶意触发 SQL 语句,并获取它不应该获取的信息。例如,攻击者可以使用看似无害的查询执行具有恶意负载的 SQL 语句,以控制 Web 应用程序的数据库服务器。

工作原理

攻击者可以利用此漏洞并利用它来为自己谋取利益。例如,可以绕过应用程序的身份验证和授权机制,从整个数据库中检索所谓的安全内容。SQL 注入可用于从数据库中创建、更新和删除记录。因此,人们可以使用SQL制定一个仅限于自己想象的查询。

通常,应用程序经常出于多种目的向数据库触发 SQL 查询,无论是提取某些记录、创建报告、对用户进行身份验证、CRUD 事务等。攻击者只需在某个应用程序输入表单中找到 SQL 输入查询。然后,表单准备的查询可用于缠绕恶意内容,以便在应用程序触发查询时,它也携带注入的有效负载。

理想的情况之一是应用程序要求用户输入用户名或用户 ID。该应用程序在那里打开了一个脆弱的地方。SQL 语句可以在不知不觉中运行。攻击者通过注入要用作 SQL 查询的一部分并由数据库处理的有效负载来利用此漏洞。例如,登录表单的 POST 操作的服务器端伪代码可能是:

uname = getRequestString("username");
pass = getRequestString("passwd");

stmtSQL = "SELECT * FROM users WHERE
   user_name = '" + uname + "' AND passwd = '" + pass + "'";

database.execute(stmtSQL);

前面的代码容易受到 SQL 注入攻击,因为通过变量 ‘uname’ 和 ‘pass’ 提供给 SQL 语句的输入可以以一种改变语句语义的方式进行操作。

例如,我们可以修改查询以针对数据库服务器运行,就像在 MySQL 中一样。

stmtSQL = "SELECT * FROM users WHERE
   user_name = '" + uname + "' AND passwd = '" + pass + "' OR 1=1";

这会导致将原始 SQL 语句修改到能够绕过身份验证的程度。这是一个严重的漏洞,必须从代码中防止。

防御 SQL 注入攻击

减少 SQL 注入攻击几率的方法之一是确保在执行之前不允许将未过滤的文本字符串附加到 SQL 语句中。例如,我们可以使用 PreparedStatement 来执行所需的数据库任务。PreparedStatement 的有趣之处在于它将预编译的 SQL 语句发送到数据库,而不是字符串。这意味着查询和数据将分别发送到数据库。这可以防止SQL注入攻击的根本原因,因为在SQL注入中,这个想法是混合代码和数据,其中数据实际上是数据伪装的代码的一部分。在 PreparedStatement 中,有多个 setXYZ() 方法,例如 *setString()。*这些方法用于过滤特殊字符,例如 SQL 语句中包含的引号。

例如,我们可以通过以下方式执行 SQL 语句。

String sql = "SELECT * FROM employees WHERE emp_no = "+eno;

我们可以修改查询,而不是在输入中输入 eno=10125 作为员工编号,例如:

eno = 10125 OR 1=1

这将完全更改查询返回的结果。

一个例子

在下面的示例代码中,我们展示了如何使用 PreparedStatement 来执行数据库任务。

package org.mano.example;

import java.sql.*;
import java.time.LocalDate;
public class App
{
   static final String JDBC_DRIVER =
      "com.mysql.cj.jdbc.Driver";
   static final String DB_URL =
      "jdbc:mysql://localhost:3306/employees";
   static final String USER = "root";
   static final String PASS = "secret";
   public static void main( String[] args )
   {
      String selectQuery = "SELECT * FROM employees
         WHERE emp_no = ?";
      String insertQuery = "INSERT INTO employees
         VALUES (?,?,?,?,?,?)";
      String deleteQuery = "DELETE FROM employees
         WHERE emp_no = ?";
      Connection connection = null;
      try {
         Class.forName(JDBC_DRIVER);
         connection = DriverManager.getConnection
            (DB_URL, USER, PASS);
      }catch(Exception ex) {
         ex.printStackTrace();
      }
      try(PreparedStatement pstmt =
            connection.prepareStatement(insertQuery);){
         pstmt.setInt(1,99);
         pstmt.setDate(2, Date.valueOf
            (LocalDate.of(1975,12,11)));
         pstmt.setString(3,"ABC");
         pstmt.setString(4,"XYZ");
         pstmt.setString(5,"M");
         pstmt.setDate(6,Date.valueOf(LocalDate.of(2011,1,1)));
         pstmt.executeUpdate();
         System.out.println("Record inserted successfully.");
      }catch(SQLException ex){
         ex.printStackTrace();
      }
      try(PreparedStatement pstmt =
            connection.prepareStatement(selectQuery);){
         pstmt.setInt(1,99);
         ResultSet rs = pstmt.executeQuery();
         while(rs.next()){
            System.out.println(rs.getString(3)+
               " "+rs.getString(4));
         }
      }catch(Exception ex){
         ex.printStackTrace();
      }
      try(PreparedStatement pstmt =
            connection.prepareStatement(deleteQuery);){
         pstmt.setInt(1,99);
         pstmt.executeUpdate();
         System.out.println("Record deleted
            successfully.");
      }catch(SQLException ex){
         ex.printStackTrace();
      }
      try{
         connection.close();
      }catch(Exception ex){
         ex.printStackTrace();
      }
   }
}

一窥PreparedStatement

这些作业也可以使用 JDBC 语句接口完成,但问题是它有时可能非常不安全,尤其是当执行动态 SQL 语句来查询用户输入值与 SQL 查询连接的数据库时。正如我们所看到的,这可能是一个危险的情况。在大多数普通情况下,Statement是无害的,但PreparedStatement似乎是两者之间更好的选择。它可以防止恶意字符串被连接,因为它在将语句发送到数据库时采用了不同的方法。PreparedStatement 使用变量替换而不是串联。在 SQL 查询中放置问号 (?) 表示替换变量将取代它并在执行查询时提供值。替换变量的位置根据 setXYZ() 方法中分配的参数索引位置取而代之。

此技术可防止其受到 SQL 注入攻击。

此外,PreparedStatement 实现了 AutoCloseable。这使它能够在“试用资源”块的上下文中写入,并在超出范围时自动关闭。

结论

只有通过负责任地编写代码才能防止 SQL 注入攻击。事实上,在任何软件解决方案中,安全性大多是由于错误的编码实践而被破坏的。在这里,我们描述了要避免的内容以及 PreparedStatement 如何帮助我们编写安全代码。有关SQL注入的完整概念,请参阅适当的材料;互联网上到处都是它们,对于 PreparedStatement,请查看 Java API 文档以获得更详细的解释。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/694648.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android应用程序开发需要哪些编程语言?

Android应用程序开发需要哪些编程语言?

开发一款Android上的应用程序通常需要以下编程语言: Java:Java是Android开发的主要编程语言。几乎所有的Android应用程序都使用Java进行核心开发。你可以使用Java编写应用程序的业务逻辑、界面设计和数据处理等。 刚好我这里有嵌入式、plc、单片机的资料…
阅读更多...
使用 Jetpack Compose 构建 RadioButton

使用 Jetpack Compose 构建 RadioButton

欢迎阅读本篇关于使用 Jetpack Compose 构建 RadioButton(单选按钮)的博客。Jetpack Compose 是 Google 发布的现代化 UI 工具包,用于构建 Android 界面。它的声明式设计使得 UI 开发更加简洁直观。 一、什么是 RadioButton? Rad…
阅读更多...
leecode-全排列

leecode-全排列

题目 题目链接 分析 两个函数知识点&#xff1a; next_permutation(start,end);输出所有比当前排列 排列大的排列 prev_permutation(start,end);输出所有比当前排列 排列小的排列 AC代码 #include <iostream> #include <algorithm> class Solution { publi…
阅读更多...
记一次ceph启动故障

记一次ceph启动故障

无法使用ceph -s查看状态 ceph-mon和ceph-mgr正常启动 ceph-osdceph-osd.service无法启动 /var/log/ceph/ceph-mon-***.log报以下错误 原因:集群时钟不同步,差了127s远远超过配置的可接受时间误差5s故该mon服务无法与集群中其他节点交流 解决方案: timedatectl status #查…
阅读更多...
diy遥控飞机模型的基本要点-2

diy遥控飞机模型的基本要点-2

电动马达 在改装电动遥控飞机时&#xff0c;选择合适的马达和螺旋桨是非常重要的。以下是一些建议&#xff1a; 马达选择&#xff1a;选择适合的马达需要考虑飞机的重量、翼展和预期性能。对于48cm翼展的手抛泡沫飞机&#xff0c;一般来说&#xff0c;你可以选择一款轻量级的无…
阅读更多...
Spring Boot 中的事务只读属性是什么,原理,如何使用

Spring Boot 中的事务只读属性是什么,原理,如何使用

Spring Boot 中的事务只读属性是什么&#xff0c;原理&#xff0c;如何使用 简介 在开发过程中&#xff0c;事务是一个非常重要的概念。在 Spring Boot 中&#xff0c;事务是通过 AOP 机制来实现的&#xff0c;可以很方便地进行管理。其中&#xff0c;只读事务是一种特殊的事…
阅读更多...
阿里P7的消息中心架构设计笔记

阿里P7的消息中心架构设计笔记

前言 最近我们在重构消息中心&#xff0c;关于设计上的部分记录一下笔记&#xff0c;希望能够帮助到正在做类似设计的。另外我创建了一个高级研发的笔记分享群&#xff0c;免费加入&#xff0c;有兴趣的可以在文章底部扫描二维码加入 需求 我们的消息中心主要服务于如下场景…
阅读更多...
C++类与对象(下)

C++类与对象(下)

类与对象&#xff08;下&#xff09; 1.再谈构造函数1.1构造函数体赋值1.2初始化列表1.3explicit关键字 2.static成员2.1概念2.2特性 3.有元3.1有元函数3.2有元类 4.内部类4.1概念及特性 5.匿名对象6.拷贝对象时的一些编译器优化7. 再次理解类和对象 1.再谈构造函数 1.1构造函…
阅读更多...
Acer宏碁掠夺者Predator战斧300 PH315-53原厂Windows10系统工厂模式,恢复安装原装OEM预装系统

Acer宏碁掠夺者Predator战斧300 PH315-53原厂Windows10系统工厂模式,恢复安装原装OEM预装系统

Acer宏基笔记本电脑&#xff0c;Acer宏碁Predator掠夺者战斧300 PH315-53原装出厂Windows10系统 系统自带所有驱动、Office办公软件、出厂主题壁纸LOGO、 Acer Care Center、Quick Access、PredatorSense风扇键盘背光控制中心等预装程序 所需要工具&#xff1a;32G或以上的U盘…
阅读更多...
Django框架实现简单的接口开发

Django框架实现简单的接口开发

前提创建一个Django项目&#xff0c;目录如下&#xff1a; Django框架上进行GET请求接口开发示例: 1.在上面项目结构目录Template下&#xff0c;新建一个login.html页面&#xff0c;定义表单提交请求的方式为post&#xff0c;具体代码如下。 <!DOCTYPE HTML> <html …
阅读更多...
LSTM

LSTM

其中一个门用来从记忆单元中输出条目&#xff0c;将其称为输出门&#xff08;output gate&#xff09;&#xff1b;另外一个门用来决定何时将数据读入记忆单元&#xff0c;将其称为输入门&#xff08;input gate&#xff09;&#xff1b;同时还需要一种机制来重置单元的内容&am…
阅读更多...
Android Jetpack Compose之RadioGroup的使用

Android Jetpack Compose之RadioGroup的使用

Android Jetpack Compose是一个现代化的UI工具包&#xff0c;帮助开发者以声明式的方式构建出美观且功能强大的Android应用。在本文中&#xff0c;我们将详细介绍其中的一个重要组件——RadioGroup。 一. RadioGroup简介 Jetpack Compose中并没有像传统View系统中那样直接提供…
阅读更多...
刷题遇到的问题

刷题遇到的问题

前言&#xff1a;好记性不如烂笔头&#xff0c;在刷题的时候遇到了如下代码&#xff0c;最终运行结果与我想的答案有所不同&#xff0c;在此记录一下方便下次理解 1、变量提升与函数声明 var time new Date(); function fx() {console.log(time); // undefinedif (false) {…
阅读更多...
LeetCode 剑指 Offer 13. 机器人的运动范围(深度遍历)

LeetCode 剑指 Offer 13. 机器人的运动范围(深度遍历)

LeetCode 剑指 Offer 13. 机器人的运动范围 原题思路代码运行截图收获 原题 LeetCode 剑指 Offer 13. 机器人的运动范围 思路 通过深度遍历来找出所有可达的格子通过0、1、2来区分未遍历、可到达、不可到达三种状态 代码 class Solution { public:int visited[109][109];i…
阅读更多...
Scala面向对象【下】

Scala面向对象【下】

1、特质 Scala 语言中&#xff0c;采用特质 trait&#xff08;特征&#xff09;来代替接口的概念&#xff0c;也就是说&#xff0c;多个类具有相同的特质&#xff08;特征&#xff09;时&#xff0c;就可以将这个特质&#xff08;特征&#xff09;独立出来&#xff0c;采用关键…
阅读更多...
VSCode 关闭未修改文件编辑器的替换

VSCode 关闭未修改文件编辑器的替换

文章目录 1 关闭编辑预览参考 1 关闭编辑预览 在setting中搜索preview取消enable Preview 选项[可选] 设置不同工作区 参考 vs code取消打开一个文件会替换之前未修改文件 https://blog.csdn.net/networkhunter/article/details/105043771
阅读更多...
多个域名映射一个nginx多个80端口

多个域名映射一个nginx多个80端口

阿里云多个二级域名&#xff0c;解析到同一个机器外网ip地址&#xff1a; http://demo.xxx.com.cn/ http://yang.xxx.com.cn/ nginx.conf 配置文件&#xff1a; server{listen 80;server_name yang.xxx.com.cn;# 第1个二级域名映射80端口index index.html index.htm index.ph…
阅读更多...
【深度学习】6-2 卷积神经网络 - 池化层

【深度学习】6-2 卷积神经网络 - 池化层

池化是缩小高、长方向上的空间的运算。比如下图&#xff0c;将2 x 2的区域集约成1个元素的处理&#xff0c;缩小空间大小 上面的例子是按步幅2进行2x2的Max池化时的处理顺序。“Max池化”是获取最大值的运算&#xff0c;“2 x 2”表示目标区域的大小。从2x2的区域中取出最大的…
阅读更多...
探索Gradio的Chatbot模块:创建交互式聊天机器人

探索Gradio的Chatbot模块:创建交互式聊天机器人

❤️觉得内容不错的话&#xff0c;欢迎点赞收藏加关注&#x1f60a;&#x1f60a;&#x1f60a;&#xff0c;后续会继续输入更多优质内容❤️ &#x1f449;有问题欢迎大家加关注私戳或者评论&#xff08;包括但不限于NLP算法相关&#xff0c;linux学习相关&#xff0c;读研读博…
阅读更多...
构建高效学生志愿者活动管理系统:基于前后端分离的设计与实现

构建高效学生志愿者活动管理系统:基于前后端分离的设计与实现

本文介绍了一种基于前后端分离的学生志愿者活动管理系统的设计与实现。通过前后端分离的架构,系统实现了高度可扩展性和灵活性,能够有效管理学生志愿者活动,并提供友好的用户界面。文章将详细介绍系统的架构设计、技术选型以及核心功能的实现,并给出相应的代码示例。 学生…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023