SQL注入原理與解決方法代碼示例

1、什麼是sql注入？

一、什麼是sql注入呢？

        所謂SQL注入，就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，好比先前的不少影視網站泄露VIP會員密碼大多就是經過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊．當應用程序使用輸入內容來構造動態sql語句以訪問數據庫時，會發生sql注入攻擊。若是代碼使用存儲過程，而這些存儲過程做爲包含未篩選的用戶輸入的字符串來傳遞，也會發生sql注入。 黑客經過SQL注入攻擊能夠拿到網站數據庫的訪問權限，以後他們就能夠拿到網站數據庫中全部的數據，惡意的黑客能夠經過SQL注入功能篡改數據庫中的數據甚至會把數據庫中的數據毀壞掉。作爲網絡開發者的你對這種黑客行爲恨之入骨，固然也有必要了解一下SQL注入這種功能方式的原理並學會如何經過代碼來保護本身的網站數據庫

二、sql注入產生緣由

     sql注入攻擊是利用是指利用設計上的漏洞，在目標服務器上運行Sql語句以及進行其餘方式的攻擊，動態生成Sql語句時沒有對用戶輸入的數據進行驗證是Sql注入攻擊得逞的主要緣由。對於java數據庫鏈接JDBC而言，SQL注入攻擊只對Statement有效，對PreparedStatement是無效的，這是由於PreparedStatement不容許在不一樣的插入時間改變查詢的邏輯結構。

    如驗證用戶是否存在的SQL語句爲：

    用戶名'and pswd='密碼

若是在用戶名字段中輸入: 'or 1=1或是在密碼字段中輸入:'or 1=1

將繞過驗證，但這種手段只對只對Statement有效，對PreparedStatement無效。相對Statement有如下優勢：

    1.防注入攻擊
    2.屢次運行速度快
    3.防止數據庫緩衝區溢出
    4.代碼的可讀性可維護性好

    這四點使得PreparedStatement成爲訪問數據庫的語句對象的首選，缺點是靈活性不夠好，有些場合仍是必須使用Statement。 

三、sql注入原理

      下面咱們來講一下sql注入原理，以使讀者對sql注入攻擊有一個感性的認識，至於其餘攻擊，原理是一致的。

     SQL注射能使攻擊者繞過認證機制，徹底控制遠程服務器上的數據庫。 SQL是結構化查詢語言的簡稱，它是訪問數據庫的事實標準。目前，大多數Web應用都使用SQL數據庫來存放應用程序的數據。幾乎全部的Web應用在後臺 都使用某種SQL數據庫。跟大多數語言同樣，SQL語法容許數據庫命令和用戶數據混雜在一塊兒的。若是開發人員不細心的話，用戶數據就有可能被解釋成命令， 這樣的話，遠程用戶就不只能向Web應用輸入數據，並且還能夠在數據庫上執行任意命令了。

     SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯在一塊兒並使得其以執行的用戶輸入變量。上面筆者舉的例子就是採用了這種方法。因爲其直接與SQL語句捆綁，故也被稱爲直接注入式攻擊法。二是一種間接的攻擊方法，它將惡意代碼注入要在表中存儲或者做爲原書據存儲的字符串。在存儲的字符串中會鏈接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。注入過程的工做方式是提早終止文本字符串，而後追加一個新的命令。如以直接注入式攻擊爲例。就是在用戶輸入變量的時候，先用一個分號結束當前的語句。而後再插入一個惡意SQL語句便可。因爲插入的命令可能在執行前追加其餘字符串，所以攻擊者經常用註釋標記「—」來終止注入的字符串。執行時，系統會認爲此後語句位註釋，故後續的文本將被忽略，不背編譯與執行。

四、SQL注入攻擊的簡單示例：

        這裏咱們舉一個比較常見的例子來簡要說明一下sql注入的原理。假如咱們有一個users表，裏面有兩個字段username和password。在咱們的java代碼中咱們初學者都習慣用sql拼接的方式進行用戶驗證。好比："select id from users where username = '"+username +"' and password = '"  + password +"'" 這裏的username和password都是咱們存取從web表單得到的數據。下面咱們來看一下一種簡單的注入，若是咱們在表單中username的輸入框中輸入' or 1=1-- ，password的表單中隨便輸入一些東西，假如這裏輸入123.此時咱們所要執行的sql語句就變成了select id from users where username = '' or 1=1--  and password = '123'，咱們來看一下這個sql，由於1=1是true，後面 and password = '123'被註釋掉了。因此這裏徹底跳過了sql驗證。

2、如何防護sql注入攻擊

1.採用預編譯語句集，它內置了處理SQL注入的能力，只要使用它的setXXX方法傳值便可。

使用好處：

(1).代碼的可讀性和可維護性.
(2).PreparedStatement盡最大可能提升性能.
(3).最重要的一點是極大地提升了安全性.

String sql= "select * from users where username=? and password=?;  
     PreparedStatement preState = conn.prepareStatement(sql); 
     preState.setString(1, userName); 
     preState.setString(2, password); 
     ResultSet rs = preState.executeQuery();

原理：sql注入只對sql語句的準備(編譯)過程有破壞做用，而PreparedStatement已經準備好了,執行階段只是把輸入串做爲數據處理,而再也不對sql語句進行解析,準備,所以也就避免了sql注入問題.

2.使用正則表達式過濾傳入的參數

正則表達式：
private String CHECKSQL = 「^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$」;

判斷是否匹配：
Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達式：

檢測SQL meta-characters的正則表達式 ：/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix
修正檢測SQL meta-characters的正則表達式 ：/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻擊的正則表達式 ：/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
檢測SQL注入，UNION查詢關鍵字的正則表達式 ：/((\%27)|(\'))union/ix(\%27)|(\')
檢測MS SQL Server SQL注入攻擊的正則表達式：/exec(\s|\+)+(s|x)p\w+/ix
等等…..

其實能夠簡單的使用replace方法也能夠實現上訴功能：

1 public static String TransactSQLInjection(String str)
2      {
3         return str.replaceAll(".*([';]+|(--)+).*", " ");
4      }

3.字符串過濾

比較通用的一個方法：（||之間的參數能夠根據本身程序的須要添加）

 public static Boolean sql_inj(String str) 
  {
      String inj_str = "'|and|exec|insert|select|delete|update| 
  count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
      String inj_stra[] = split(inj_str,"|");
      for (int i=0 ; i < inj_stra.length ; i++ ) 
      {
          if (str.indexOf(inj_stra[i])>=0) 
          {
             return true;
         }
     }
     return false;
 }

4.jsp中調用該函數檢查是否包函非法字符

防止SQL從URL注入：

sql_inj.java代碼：

package sql_inj;
 import java.net.*;
 import java.io.*;
 import java.sql.*;
 import java.text.*;
 import java.lang.String;
 public class sql_inj{
     public static Boolean sql_inj(String str) 
     {
         String inj_str = "'|and|exec|insert|select|delete|update| 
 count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
         //這裏的東西還能夠本身添加 
         String[] inj_stra=inj_str.split("\\|");
         for (int i=0 ; i < inj_stra.length ; i++ ) 
         {
             if (str.indexOf(inj_stra[i])>=0) 
            {
                 return true;
             }
         }
         return false;
     }
 }

5.JSP頁面添加客戶端判斷代碼：

使用javascript在客戶端進行不安全字符屏蔽

功能介紹：檢查是否含有」‘」,」\\」,」/」

參數說明：要檢查的字符串

返回值：0：是1：不是

function check(a) {
    return 1;
    fibdn = new Array (」‘」 ,」\\」,」/」);
    i=fibdn.length;
    j=a.length;
    for (ii=0; ii＜i; ii++) {
        for (jj=0; jj＜j; jj++) {
            temp1=a.charAt(jj);
            temp2=fibdn[ii];
            if (tem';p1==temp2) {
                return 0;
            }
        }
    }
    return 1;
}

總的說來，防範通常的SQL注入只要在代碼規範上下點功夫就能夠了。