2. 程式人生 > >Java SQL註入學習筆記

Java SQL註入學習筆記

阿新 發佈:2018-10-01
stl 獲取 高級 sel www prevent javase 解釋 名單

1 簡介

文章主要內容包括:

  • Java 持久層技術/框架簡單介紹
  • 不同場景/框架下易導致 SQL 註入的寫法
  • 如何避免和修復 SQL 註入

2 JDBC

介紹

JDBC:

  • 全稱 Java Database Connectivity

  • 是 Java 訪問數據庫的 API,不依賴於特定數據庫 ( database-independent )

  • 所有 Java 持久層技術都基於 JDBC

更多請參考 http://www.oracle.com/technetwork/java/javase/jdbc/index.html

說明

直接使用 JDBC 的場景,如果代碼中存在拼接 SQL 語句,那麽很有可能會產生註入,如

// concat sql
String sql = "SELECT * FROM users WHERE name =‘"+ name + "‘";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

安全的寫法是使用 參數化查詢 ( parameterized queries ),即 SQL 語句中使用參數綁定( ? 占位符 ) 和 PreparedStatement,如

// use ? to bind variables
String sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
// 參數 index 從 1 開始
ps.setString(1, name);

還有一些情況,比如 order by、column name,不能使用參數綁定,此時需要手工過濾,如通常 order by 的字段名是有限的,因此可以使用白名單的方式來限制參數值

這裏需要註意的是,使用了 PreparedStatement 並不意味著不會產生註入,如果在使用 PreparedStatement 之前,存在拼接 sql 語句,那麽仍然會導致註入,如

// 拼接 sql
String sql = "SELECT * FROM users WHERE name =‘"+ name + "‘";
PreparedStatement ps = connection.prepareStatement(sql);

看到這裏,大家肯定會好奇 PreparedStatement 是如何防止 SQL 註入的,來了解一下

正常情況下,用戶的輸入是作為參數值的,而在 SQL 註入中,用戶的輸入是作為 SQL 指令的一部分,會被數據庫進行編譯/解釋執行。當使用了 PreparedStatement,帶占位符 ( ? ) 的 sql 語句只會被編譯一次,之後執行只是將占位符替換為用戶輸入,並不會再次編譯/解釋,因此從根本上防止了 SQL 註入問題。

更詳細和準確的回答,請參考:

  • How does a PreparedStatement avoid or prevent SQL injection?

  • How to Fix SQL Injection Using Java PreparedStatement & CallableStatement

3 Mybatis

介紹

  • 首個 class persistence framework
  • 介於 JDBC (raw SQL) 和 Hibernate (ORM)
  • 簡化絕大部分 JDBC 代碼、手工設置參數和獲取結果
  • 靈活,使用者能夠完全控制 SQL,支持高級映射

更多請參考 http://www.mybatis.org/

說明

在 MyBatis 中,使用 XML 文件 或 Annotation 來進行配置和映射,將 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records

XML 例子

Mapper Interface

@Mapper
public interface UserMapper {
    User getById(int id);
}

XML 配置文件

<select id="getById" resultType="org.example.User">
	SELECT * FROM user WHERE id = #{id}
</select>

Annotation 例子

@Mapper
public interface UserMapper {
    @Select("SELECT * FROM user WHERE id= #{id}")
    User getById(@Param("id") int id);
}

可以看到,使用者需要自己編寫 SQL 語句,因此當使用不當時,會導致註入問題

與使用 JDBC 不同的是,MyBatis 使用 #{}${} 來進行參數值替換

使用 #{} 語法時,MyBatis 會自動生成 PreparedStatement ,使用參數綁定 (?) 的方式來設置值,上述兩個例子等價的 JDBC 查詢代碼如下:

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1, id);

因此 #{} 可以有效防止 SQL 註入,詳細可參考 http://www.mybatis.org/mybatis-3/sqlmap-xml.html String Substitution 部分

而使用 ${} 語法時,MyBatis 會直接註入原始字符串,即相當於拼接字符串,因而會導致 SQL 註入,如

<select id="getByName" resultType="org.example.User">
	SELECT * FROM user WHERE name = ‘${name}‘ limit 1
</select>

name 值為 ‘ or ‘1‘=‘1,實際執行的語句為

SELECT * FROM user WHERE name = ‘‘ or ‘1‘=‘1‘ limit 1

因此建議盡量使用 #{},但有些時候,如 order by 語句,使用 #{} 會導致出錯,如

ORDER BY #{sortBy}

sortBy 參數值為 name ,替換後會成為

ORDER BY "name"

即以字符串 “name” 來排序,而非按照 name 字段排序,詳細可參考 https://stackoverflow.com/a/32996866/6467552。

這種情況就需要使用 ${}

ORDER BY ${sortBy}

使用了 ${}後,使用者需要自行過濾輸入,方法有:

  • 代碼層使用白名單的方式,限制 sortBy 允許的值,如只能為 name, email 字段,異常情況則設置為默認值 name

  • 在 XML 配置文件中,使用 if 標簽來進行判斷

    Mapper 接口方法

    List<User> getUserListSortBy(@Param("sortBy") String sortBy);

    xml 配置文件

    <select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <if test="sortBy == ‘name‘ or sortBy == ‘email‘">
	order by ${sortBy}
  </if>
</select>

    因為 Mybatis 不支持 else,需要默認值的情況,可以使用 choose (when, otherwise)

    <select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <choose>
    <when test="sortBy == ‘name‘ or sortBy == ‘email‘">
      order by ${sortBy}
    </when>
    <otherwise>
      order by name
    </otherwise>     
 </choose>
</select>

更多場景

除了 order by 之外,還有一些可能會使用到 ${} 情況,可以使用其他方法避免,如

like 語句

如需要使用通配符 ( wildcard characters %_) ,可以

  • 在代碼層,在參數值兩邊加上 %,然後再使用 #{}

  • 使用 bind 標簽來構造新參數,然後再使用 #{}

    Mapper 接口方法

    List<User> getUserListLike(@Param("name") String name);

    xml 配置文件

    <select id="getUserListLike" resultType="org.example.User">
    <bind name="pattern" value="‘%‘ + name + ‘%‘" />
    SELECT * FROM user 
    WHERE name LIKE #{pattern}
</select>

    <bind> 語句內的 value 為 OGNL expression,具體可參考 http://www.mybatis.org/mybatis-3/dynamic-sql.html bind 部分

  • 使用 SQL concat() 函數

    <select id="getUserListLikeConcat" resultType="org.example.User">
	SELECT * FROM user WHERE name LIKE concat (‘%‘, #{name}, ‘%‘)
</select>

除了註入問題之外,這裏還需要對用戶的輸入進行過濾,不允許有通配符,否則在表中數據量較多的時候,假設用戶輸入為 %%,會進行全表模糊查詢,嚴重情況下可導致 DOS,參考 http://www.tothenew.com/blog/sql-wildcards-is-your-application-safe/

IN 條件

使用 <foreach>#{}

Mapper 接口方法

List<User> getUserListIn(@Param("nameList") List<String> nameList);

xml 配置文件

<select id="selectUserIn" resultType="com.example.User">
  SELECT * FROM user WHERE name in
  <foreach item="name" collection="nameList" 
           open="(" separator="," close=")">
        #{name}
  </foreach>
</select>

具體可參考 http://www.mybatis.org/mybatis-3/dynamic-sql.html foreach 部分

limit 語句

直接使用 #{} 即可

Mapper 接口方法

List<User> getUserListLimit(@Param("offset") int offset, @Param("limit") int limit);

xml 配置文件

<select id="getUserListLimit" resultType="org.example.User">
	SELECT * FROM user limit #{offset}, #{limit}
</select>

4 JPA & Hibernate

介紹

JPA:

  • 全稱 Java Persistence API

  • ORM (object-relational mapping) 持久層 API,需要有具體的實現

更多請參考 https://en.wikipedia.org/wiki/Java_Persistence_API

Hibernate:

  • JPA ORM 實現

更多請參考 http://hibernate.org/

說明

這裏有一種錯誤的認識,使用了 ORM 框架,就不會有 SQL 註入。而實際上,在 Hibernate 中,支持 HQL (Hibernate Query Language) 和 native sql 查詢,前者存在 HQL 註入,後者和之前 JDBC 存在相同的註入問題,來具體看一下

HQL

HQL 查詢例子

Query<User> query = session.createQuery("from User where name = ‘" + name + "‘", User.class);
User user = query.getSingleResult();

這裏的 User 為類名,和原生 SQL 類似,拼接會導致註入

正確的用法:

  • 位置參數 (Positional parameter)
Query<User> query = session.createQuery("from User where name = ?", User.class);
query.setParameter(0, name);
  • 命名參數 (named parameter)
Query<User> query = session.createQuery("from User where name = :name", User.class);
query.setParameter("name", name);
  • 命名參數 list (named parameter list)
Query<User> query = session.createQuery("from User where name in (:nameList)", User.class);
query.setParameterList("nameList", Arrays.asList("lisi", "zhaowu"));
  • 類實例 (JavaBean)
User user = new User();
user.setName("zhaowu");
Query<User> query = session.createQuery("from User where name = :name", User.class);
// User 類需要有 getName() 方法
query.setProperties(user);

Native SQL

存在 SQL 註入

String sql = "select * from user where name = ‘" + name + "‘";
// deprecated
// Query query = session.createSQLQuery(sql);
Query query = session.createNativeQuery(sql);

使用參數綁定來設置參數值

String sql = "select * from user where name = :name";
// deprecated
// Query query = session.createSQLQuery(sql);
Query query = session.createNativeQuery(sql);
query.setParameter("name", name);

JPA

JPA 中使用 JPQL (Java Persistence Query Language),同時也支持 native sql,因此和 Hibernate 存在類似的問題,這裏就不再細說,感興趣的可以參考 How to How to Fix SQL Injection using the Java Persistence API (JPA)

Java SQL註入學習筆記

相關推薦

Java SQL學習筆記

stl 獲取 高級 sel www prevent javase 解釋 名單 1 簡介 文章主要內容包括: Java 持久層技術/框架簡單介紹 不同場景/框架下易導致 SQL 註入的寫法 如何避免和修復 SQL 註入 2 JDBC 介紹 JDBC:

sql學習筆記(1)

筆記 err variable 兩個 sch 二分法 當前 dir 返回 把學習到的sql註入的一點知識記錄下來 更改默認的sqlmap脫庫保存的路徑 --output-dir F:\ Substr(字符串,起始位置,字符數) (初始為1不是0) 這裏有示例 http

sql學習筆記2

center database 入學 引擎 order 用戶權限 博客 pos 檢測 Mysql除了自創建的數據庫還有一個自帶的information_schema數據庫。 它提供了訪問元數據的方式,元數據就是對數據的描述。 其中保存著關於MySQL服務器所維護的所有其他數

sql學習筆記,什麽是sql,如何尋找漏洞,如何攻擊,如何預防

產生 回收 異常 學習 .com 就會 inf get 識別 什麽是SQL註入 如何理解sql註入? sql註入是一種將sql代碼添加到輸入參數中,傳遞到sql服務器解析並執行的一種攻擊手法 示例: 本地一段代碼為get獲取id值,輸出實際

SQL學習資料總結

腳本 使用 返回結果 得到 php代碼 世界 信息 其他 系統命令 轉載自:https://bbs.ichunqiu.com/thread-12105-1-1.html 什麽是SQL註入 SQL註入基本介紹 結構化查詢語言(Structured Query

SQL學習總結(八):其他SQL的異或

href http 發現 .sql 異或 ascii 3.2 運算 證明 其他類型註入的詳解(5) 5.sql異或註入 背景當我們在嘗試SQL註入時,發現union,and被完全過濾掉了,就可以考慮使用異或註入 知識點 異或運算規則: 1^1=0 0^0=0 0^1=1 1

Mysql寬字節 ---學習筆記

cat and 就是 註入 lmap 單引號 xtra details you 轉自:https://blog.csdn.net/niexinming/article/details/49109683 先補充一點背景:大 家都知道PHP在開啟magic_quotes_gpc

【安全牛學習筆記】手動漏洞挖掘-SQL

security+ 漏洞 信息安全 手動漏洞挖掘-----SQL註入無權讀取information_schema庫 / 拒絕union、orderby語句 猜列明: ‘and column is null--+ Burp suite自動猜列名 猜當前表表名: ‘and

【安全牛學習筆記】初識sql漏洞原理

信息安全 sql security+ 網站沒有對輸入的字符進行過濾,導致輸入的字符影響到網站數據的查詢。編程 數學邏輯思維 and or xor 且 或 否 或:有一個真就是真 且:有一個假就為假 否:相反怎麽找是否有註入漏洞? 第一個找符合參數鏈接的網站

【安全牛學習筆記】?KALI版本更新和手動漏洞挖掘(SQL

信息安全 security+ sql註入 漏洞 KALI版本更新-----第一個ROLLING RELEASEKali 2.0發布時聲稱將采用rolling release模式更新(但並未實施)Fixed-release 固定發布周期 使用軟件穩定的主流版本 發布--

mybatis 學習筆記:mybatis SQL問題

spa onf concat http 控制臺 throws 檢查 src lec SQL 註入攻擊 首先了解下概念,什麽叫SQL 註入: SQL註入攻擊,簡稱SQL攻擊或註入攻擊,是發生於應用程序之數據庫層的安全漏洞。簡而言之,是在輸入的字符串之中註入SQL指令,在設計

Java代碼審計連載之—SQL

問題 連載 edi 初學者 epo lte where color 用戶 前言近日閑來無事,快兩年都沒怎麽寫代碼了,打算寫幾行代碼,做代碼審計一年了,每天看代碼都好幾萬行,突然發現自己都不會寫代碼了,真是很DT。想當初入門代碼審計的時候真是非常難,網上幾乎找不到什麽java

PHP代碼審計筆記--SQL

pre 成了 images strip ech ont mic lose 行數據     0X01 普通註入 SQL參數拼接,未做任何過濾 <?php $con = mysql_connect("localhost","root","root"); if (!$co

【jSQL-injection】Java自動化SQL測試工具—jSQL Injection v0.81

could 直接下載 err pro depend v0.8 eat 1.3 jar包 jsql-injection是Kali集成的一款使用java開發的Web滲透測試工具。最初該工具主要實施SQL註入,後來增加管理頁面暴力掃描、敏感文件猜測、Web shell、SQL s

SQL筆記

base 逗號 HA 跨行 string 路徑 AS gen from SQL註釋   單行註釋  #後面直接加內容         --後面必須加空格   多行註釋  /**/中間可跨行   -- + 會刪除   內聯註釋是: MySQL數據庫為了保持與其他數據庫兼容,特

5月11日 python學習總結 子查詢、pymysql模塊增刪改查、防止sql問題

hal port 註入 any dict lex absolut username 參數 一、子查詢    子查詢:把一個查詢語句用括號括起來,當做另外一條查詢語句的條件去用,稱為子查詢 select emp.name from emp inner join dep on

零基礎學習手工SQL

SQL SQL註入 手工 SQL註入介紹 SQL註入,其實就是用戶瀏覽器提交的變量內容,應用程序(代碼可能是asp、aspx、php、jsp等)對瀏覽器提交過來的數據未過濾,直接去數據庫查詢,導致把數據庫裏面其他內容(如管理賬戶和密碼)查詢返回到頁面上。先看個《墨者學院故事會》的一個小故事: 某

記錄一下學習PDO技術防範SQL的方法

utf-8 獲取數據 代碼 cat body ont execute stmt 進行 最近學習了使用PDO技術防範SQL註入的方法,在博客裏當做一次筆記。若果有新的感悟在來添上一筆,畢竟也是剛開始學習。一、 什麽是PDO PDO全名PHP Data Object PH

ref:Java防止SQL

tran sql註入 自己 user span api session replace article ref:https://blog.csdn.net/abc19900828/article/details/39501349 小結:spring采用JdbcTemplat

Java應用開發中的SQL攻擊

包括 安全防護 sql註入 什麽 由於 應用程序 輸入數據 數據庫防火墻 進行 1. 什麽是SQL註入攻擊? SQL註入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員越來越多。但是由於程序員的水平及經驗參差不齊,相當