Java程序員從笨鳥到菜鳥之（一百零二）sql注入攻擊詳解（三）sql注入解決辦法

sql注入攻擊詳解（二）sql注入過程詳解 

 

       sql注入攻擊詳解（一）sql注入原理詳解 

 

 

      咱們瞭解了sql注入原理和sql注入過程，今天咱們就來了解一下sql注入的解決辦法。怎麼來解決和防範sql注入，因爲本人主要是搞java web開發的小程序員，因此這裏我只講一下有關於java web的防止辦法。其實對於其餘的，思路基本類似。下面咱們先從web應用程序的角度來看一下如何避免sql注入：

 

 

一、普通用戶與系統管理員用戶的權限要有嚴格的區分。

 

　　若是一個普通用戶在使用查詢語句中嵌入另外一個Drop Table語句，那麼是否容許執行呢?因爲Drop語句關係到數據庫的基本對象，故要操做這個語句用戶必須有相關的權限。在權限設計中，對於終端用戶，即應用軟件的使用者，沒有必要給他們數據庫對象的創建、刪除等權限。那麼即便在他們使用SQL語句中帶有嵌入式的惡意代碼，因爲其用戶權限的限制，這些代碼也將沒法被執行。故應用程序在設計的時候，最好把系統管理員的用戶與普通用戶區分開來。如此能夠最大限度的減小注入式攻擊對數據庫帶來的危害。

 

二、 強迫使用參數化語句。

 

　　若是在編寫SQL語句的時候，用戶輸入的變量不是直接嵌入到SQL語句。而是經過參數來傳遞這個變量的話，那麼就能夠有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不可以直接被嵌入到SQL語句中。與此相反，用戶的輸入的內容必須進行過濾，或者使用參數化的語句來傳遞用戶輸入的變量。參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中。採用這種措施，能夠杜絕大部分的SQL注入式攻擊。不過惋惜的是，如今支持參數化語句的數據庫引擎並很少。不過數據庫工程師在開發產品的時候要儘可能採用參數化語句。

 

三、增強對用戶輸入的驗證。

 

　　整體來講，防治SQL注入式攻擊能夠採用兩種方法，一是增強對用戶輸入內容的檢查與驗證;二是強迫使用參數化語句來傳遞用戶輸入的內容。在SQLServer數據庫中，有比較多的用戶輸入內容驗證工具，能夠幫助管理員來對付SQL注入式攻擊。測試字符串變量的內容，只接受所需的值。拒絕包含二進制數據、轉義序列和註釋字符的輸入內容。這有助於防止腳本注入，防止某些緩衝區溢出攻擊。測試用戶輸入內容的大小和數據類型，強制執行適當的限制與轉換。這即有助於防止有意形成的緩衝區溢出，對於防治注入式攻擊有比較明顯的效果。

 

四、 多多使用SQL Server數據庫自帶的安全參數。

 

　　爲了減小注入式攻擊對於SQL Server數據庫的不良影響，在SQLServer數據庫專門設計了相對安全的SQL參數。在數據庫設計過程當中，工程師要儘可能採用這些參數來杜絕惡意的SQL注入式攻擊。

 

五、 多層環境如何防治SQL注入式攻擊?

 

　　在多層應用環境中，用戶輸入的全部數據都應該在驗證以後才能被容許進入到可信區域。未經過驗證過程的數據應被數據庫拒絕，並向上一層返回一個錯誤信息。實現多層驗證。對無目的的惡意用戶採起的預防措施，對堅決的攻擊者可能無效。更好的作法是在用戶界面和全部跨信任邊界的後續點上驗證輸入。如在客戶端應用程序中驗證數據能夠防止簡單的腳本注入。可是，若是下一層認爲其輸入已經過驗證，則任何能夠繞過客戶端的惡意用戶就能夠不受限制地訪問系統。故對於多層應用環境，在防止注入式攻擊的時候，須要各層一塊兒努力，在客戶端與數據庫端都要採用相應的措施來防治SQL語句的注入式攻擊。

 

六、必要的狀況下使用專業的漏洞掃描工具來尋找可能被攻擊的點。

 

　　使用專業的漏洞掃描工具，能夠幫助管理員來尋找可能被SQL注入式攻擊的點。不過漏洞掃描工具只能發現攻擊點，而不可以主動起到防護SQL注入攻擊的做用。固然這個工具也常常被攻擊者拿來使用。如攻擊者能夠利用這個工具自動搜索攻擊目標並實施攻擊。爲此在必要的狀況下，企業應當投資於一些專業的漏洞掃描工具。一個完善的漏洞掃描程序不一樣於網絡掃描程序，它專門查找數據庫中的SQL注入式漏洞。最新的漏洞掃描程序能夠查找最新發現的漏洞。因此憑藉專業的工具，能夠幫助管理員發現SQL注入式漏洞，並提醒管理員採起積極的措施來預防SQL注入式攻擊。若是攻擊者可以發現的SQL注入式漏洞數據庫管理員都發現了並採起了積極的措施堵住漏洞，那麼攻擊者也就無從下手了。

 

        上面主要是介紹了在web應用程序中對sql注入的大致解決思路，下面咱們就根據java web應用程序的特徵來具體說明一下如何解決在java web應用程序中的sql注入問題。

 

 

1.採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值便可。

使用好處：

(1).代碼的可讀性和可維護性.

(2).PreparedStatement盡最大可能提升性能.

(3).最重要的一點是極大地提升了安全性.

 

String sql= "select * from users where username=? and password=?;
          PreparedStatement preState = conn.prepareStatement(sql);
          preState.setString(1, userName);
          preState.setString(2, password);
          ResultSet rs = preState.executeQuery();

String sql= "select * from users where username=? and password=?;
          PreparedStatement preState = conn.prepareStatement(sql);
          preState.setString(1, userName);
          preState.setString(2, password);
          ResultSet rs = preState.executeQuery(); 

 

原理：sql注入只對sql語句的準備(編譯)過程有破壞做用，而PreparedStatement已經準備好了,執行階段只是把輸入串做爲數據處理,而再也不對sql語句進行解析,準備,所以也就避免了sql注入問題.

 

2.使用正則表達式過濾傳入的參數

 

正則表達式：

private String CHECKSQL = 「^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$」;

判斷是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：

/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

檢測MS SQL Server SQL注入攻擊的正則表達式：

/exec(\s|\+)+(s|x)p\w+/ix

等等…..

 其實能夠簡單的使用replace方法也能夠實現上訴功能：

 public static String TransactSQLInjection(String str)
          {
                return str.replaceAll(".*([';]+|(--)+).*", " ");
          } 

 

3.字符串過濾

 

比較通用的一個方法：

（||之間的參數能夠根據本身程序的須要添加）

 

 

public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra[i])>=0)
{
return true;
}
}
return false;
}

public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
String inj_stra[] = split(inj_str,"|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra[i])>=0)
{
return true;
}
}
return false;
}

 

 

4.jsp中調用該函數檢查是否包函非法字符

 

防止SQL從URL注入：

sql_inj.java代碼：

 

 

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//這裏的東西還能夠本身添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra[i])>=0)
{
return true;
}
}
return false;
}
}

package sql_inj;
import java.net.*;
import java.io.*;
import java.sql.*;
import java.text.*;
import java.lang.String;
public class sql_inj{
public static boolean sql_inj(String str)
{
String inj_str = "'|and|exec|insert|select|delete|update|
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
//這裏的東西還能夠本身添加
String[] inj_stra=inj_str.split("\\|");
for (int i=0 ; i < inj_stra.length ; i++ )
{
if (str.indexOf(inj_stra[i])>=0)
{
return true;
}
}
return false;
}
}
 

 

5.JSP頁面添加客戶端判斷代碼：

 

使用javascript在客戶端進行不安全字符屏蔽

功能介紹：檢查是否含有」‘」,」\\」,」/」

參數說明：要檢查的字符串

返回值：0：是1：不是

函數名是

 

function check(a)
{
return 1;
fibdn = new Array (」‘」 ,」\\」,」/」);
i=fibdn.length;
j=a.length;
for (ii=0; ii＜i; ii++)
{ for (jj=0; jj＜j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem’; p1==temp2)
{ return 0; }
}
}
return 1;
}

function check(a)
{
return 1;
fibdn = new Array (」‘」 ,」\\」,」/」);
i=fibdn.length;
j=a.length;
for (ii=0; ii＜i; ii++)
{ for (jj=0; jj＜j; jj++)
{ temp1=a.charAt(jj);
temp2=fibdn[ii];
if (tem’; p1==temp2)
{ return 0; }
}
}
return 1;
}

 

 

 

 

 關於安全性，本文可總結出一下幾點：

          1.要對用戶輸入的內容保持警戒。
          2.只在客戶端進行輸入驗證等於沒有驗證。
          3.永遠不要把服務器錯誤信息暴露給用戶。

 

 

註明：本文參考了網上一些資源，寫的時候沒有記下出處，因此沒法註明，而且本文僅供讀者學習所用，請不要作有些違反法律的事情，一旦發生，與本人無關