Java SQL注入学习笔记

Java 前端之家
前端之家收集整理的这篇文章主要介绍了Java SQL注入学习笔记前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

<h1 id="0x01-简介">1 简介

文章主要内容包括

  • Java 持久层技术/框架简单介绍
  • 不同场景/框架下易导致 sql 注入的写法
  • 如何避免和修复 sql 注入

JDBC:

  • 全称 Java Database Connectivity

  • 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent )

  • 所有 Java 持久层技术都基于 JDBC

更多请参考 http://www.oracle.com/technetwork/java/javase/jdbc/index.html

直接使用 JDBC 的场景,如果代码中存在拼接 sql 语句,那么很有可能会产生注入,如

Highlighter-rouge">
Highlighter"> 
sql
String sql = "SELECT * FROM users WHERE name ='"+ name + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

安全的写法是使用 参数化查询 ( parameterized queries ),即 sql 语句中使用参数绑定( ? 占位符 ) 和 Highlighter-rouge">PreparedStatement,如

Highlighter-rouge">
Highlighter"> 
sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
// 参数 index 从 1 开始
ps.setString(1,name);

还有一些情况,比如 order by、column name,不能使用参数绑定,此时需要手工过滤,如通常 order by 的字段名是有限的,因此可以使用白名单的方式来限制参数值

这里需要注意的是,使用了 Highlighter-rouge">PreparedStatement 并不意味着不会产生注入,如果在使用 Highlighter-rouge">PreparedStatement 之前,存在拼接 sql 语句,那么仍然会导致注入,如

Highlighter-rouge">
Highlighter"> 
sql
String sql = "SELECT * FROM users WHERE name ='"+ name + "'";
PreparedStatement ps = connection.prepareStatement(sql);

看到这里,大家肯定会好奇 Highlighter-rouge">PreparedStatement 是如何防止 sql 注入的,来了解一下

正常情况下,用户的输入是作为参数值的,而在 sql 注入中,用户的输入是作为 sql 指令的一部分,会被数据库进行编译/解释执行。当使用了 Highlighter-rouge">PreparedStatement,带占位符 ( ? ) 的 sql 语句只会被编译一次,之后执行只是将占位符替换为用户输入,并不会再次编译/解释,因此从根本上防止了 sql 注入问题。

更详细和准确的回答,请参考:

更多请参考 http://www.mybatis.org/

在 MyBatis 中,使用 XML 文件 或 Annotation 来进行配置和映射,将 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records

XML 例子

Mapper Interface

Highlighter-rouge">
Highlighter"> 






XML 配置文件


Highlighter-rouge">

Highlighter">









Annotation 例子


Highlighter-rouge">

Highlighter">







可以看到,使用者需要自己编写 sql 语句,因此当使用不当时,会导致注入问题


与使用 JDBC 不同的是,MyBatis 使用 Highlighter-rouge">#{} 和 Highlighter-rouge">${} 来进行参数值替换


使用 Highlighter-rouge">#{} 语法时,MyBatis 会自动生成 Highlighter-rouge">PreparedStatement ,使用参数绑定 (Highlighter-rouge">?) 的方式来设置值,上述两个例子等价的 JDBC 查询代码如下:


Highlighter-rouge">

Highlighter">

sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1,id);








因此 Highlighter-rouge">#{} 可以有效防止 sql 注入,详细可参考 http://www.mybatis.org/mybatis-3/sqlmap-xml.html String Substitution 部分


而使用 Highlighter-rouge">${} 语法时,MyBatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 sql 注入,如


Highlighter-rouge">

Highlighter">








name 值为 Highlighter-rouge">' or '1'='1,实际执行的语句为


sql Highlighter-rouge">

Highlighter">






因此建议尽量使用 Highlighter-rouge">#{},但有些时候,如 order by 语句,使用 Highlighter-rouge">#{} 会导致出错,如


sql Highlighter-rouge">

Highlighter">






sortBy 参数值为 Highlighter-rouge">name ,替换后会成为


sql Highlighter-rouge">

Highlighter">






即以字符串 “name” 来排序,而非按照 name 字段排序,详细可参考 https://stackoverflow.com/a/32996866/6467552。


这种情况就需要使用 Highlighter-rouge">${}


sql Highlighter-rouge">

Highlighter">






使用了 Highlighter-rouge">${}后,使用者需要自行过滤输入,方法有:





除了 Highlighter-rouge">order by 之外,还有一些可能会使用到 Highlighter-rouge">${} 情况,可以使用其他方法避免,如


like 语句


如需要使用通配符 ( wildcard characters Highlighter-rouge">% 和 Highlighter-rouge">_) ,可以



除了注入问题之外,这里还需要对用户的输入进行过滤,不允许有通配符,否则在表中数据量较多的时候,假设用户输入为 Highlighter-rouge">%%,会进行全表模糊查询,严重情况下可导致 DOS,参考 http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe/


IN 条件


使用 Highlighter-rouge"> 和 Highlighter-rouge">#{}


Mapper 接口方法


Highlighter-rouge">

Highlighter">

 getUserListIn(@Param("nameList") List nameList);







xml 配置文件


Highlighter-rouge">

Highlighter">








具体可参考 http://www.mybatis.org/mybatis-3/dynamic-sql.html foreach 部分


limit 语句


直接使用 Highlighter-rouge">#{} 即可


Mapper 接口方法


Highlighter-rouge">

Highlighter">

 getUserListLimit(@Param("offset") int offset,@Param("limit") int limit);







xml 配置文件


Highlighter-rouge">

Highlighter">












JPA:



更多请参考 https://en.wikipedia.org/wiki/Java_Persistence_API


Hibernate:



更多请参考 http://hibernate.org/




这里有一种错误的认识,使用了 ORM 框架,就不会有 sql 注入。而实际上,在 Hibernate 中,支持 HQL (Hibernate Query Language) 和 native sql 查询,前者存在 HQL 注入,后者和之前 JDBC 存在相同的注入问题,来具体看一下




HQL 查询例子


Highlighter-rouge">

Highlighter">

 query = session.createQuery("from User where name = '" + name + "'",User.class);
User user = query.getSingleResult();







这里的 Highlighter-rouge">User 为类名,和原生 sql 类似,拼接会导致注入


正确的用法



Highlighter-rouge">

Highlighter">

 query = session.createQuery("from User where name = ?",User.class);
query.setParameter(0,name);








Highlighter-rouge">

Highlighter">

 query = session.createQuery("from User where name = :name",User.class);
query.setParameter("name",name);








Highlighter-rouge">

Highlighter">

 query = session.createQuery("from User where name in (:nameList)",User.class);
query.setParameterList("nameList",Arrays.asList("lisi","zhaowu"));








Highlighter-rouge">

Highlighter">

 query = session.createQuery("from User where name = :name",User.class);
// User 类需要有 getName() 方法
query.setProperties(user);







sql">Native sql


存在 sql 注入


Highlighter-rouge">

Highlighter">

sql = "select * from user where name = '" + name + "'";
// deprecated
// Query query = session.createsqlQuery(sql);
Query query = session.createNativeQuery(sql);







使用参数绑定来设置参数值


Highlighter-rouge">

Highlighter">

sql = "select * from user where name = :name";
// deprecated
// Query query = session.createsqlQuery(sql);
Query query = session.createNativeQuery(sql);
query.setParameter("name",name);









JPA 中使用 JPQL (Java Persistence Query Language),同时也支持 native sql,因此和 Hibernate 存在类似的问题,这里就不再细说,感兴趣的可以参考 sql-injection-in-java-persistence-api-jpa">How to How to Fix sql Injection using the Java Persistence API (JPA)

      
Java SQL注入学习笔记

      
                 
              
            
          
          
          
          

            

              




            

          


          

            

              

                  
    
猜你在找的Java相关文章



                                    
ArrayList源码分析

                                
ArrayList简介:ArrayList 的底层是数组队列,相当于动态数组。与 Java 中的数组相比,它的...

                                
                                
                            



                                    
java多线程与并发(基础篇)

                                
一、进程与线程 进程:是代码在数据集合上的一次运行活动,是系统进行资源分配和调度的基本...

                                
                                
                            



                                    
LinkedList 的实现原理

                                
本文为博客园作者所写:&#160;一寸HUI,个人博客地址:https://www.cnblogs.com/zsql/...

                                
                                
                            



                                    
java之面向对象详解

                                
#############java面向对象详解#############1、面向对象基本概念2、类与对象3、类和对象的...

                                
                                
                            



                                    
java之异常详解

                                
一、什么是异常? 异常就是有异于常态,和正常情况不一样,有错误出错。在java中,阻止当前...

                                
                                
                            







                                    
Map的四种遍历

                                
//Map的四种遍历方法 //Map不能直接遍历 ,只能通过遍历Key与Value间接遍历 public static...

                                
                                
                            



                                    
throw和throws的区别以及try,catch,finally在有return的情况下执行的顺序

                                
一,抛出异常有三种形式,一是throw,一个throws,还有一种系统自动抛异常。下面它们之间的...

                                
                                
                            



                                    
Jdk14 都要出了,Jdk9 的新特性还不了解一下?

                                
中最大的亮点是 Java 平台模块化 的引入,以及模块化 JDK。但是 还有很多其他新功能,这篇...

                                
                                
                            



                                    
还看不懂同事代码?快来补一波 Java 7 语法特性

                                
Jdk 频繁更新,新特性了解吗?每次更新都注重提高生产效率,提高 JVM 性能,推行模块化等,...

                                
                                
                            



                                    
 Java 12 新特性介绍,快来补一补

                                
Java 12 早在 2019 年 3 月 19 日发布,这些新特性你知道吗

                                
                                
                            







            

          

        
        
        
        
        

          
          

            

              

                
                
PHPJavaJava SEPythonC#C&C++RubyVBasp.NetGoPerlnettyDjangoDelphiJsp.NET CoreSpringFlaskSpringbootSpringMVCLuaLaravelMybatisAspGroovyThinkPHPYiiswoole

                

              

            

          

          
         
          

            

              
 



              

            

          

          
          
          
          

            

              

                
                
              

            

          

          


          
          

            

              

                
                
文件时间pythonm相等性PHP Warning时间问题问题解决pcntl_signal采样点wav模块动态文本调用频率限制对外暴露多个访问请求更新数据表模型结构type()方法比较速度手写体sobel算子保存模型Image类nn.Conv2dpytorch1.0kaggleDCGAN交并比range()用法打印模型反卷积卷积