您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)SQL注入的原理有哪些,小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
一、什么是sql注入?
1、什么是sql注入呢?
所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊.當(dāng)應(yīng)用程序使用輸入內(nèi)容來構(gòu)造動(dòng)態(tài)sql語句以訪問數(shù)據(jù)庫時(shí),會(huì)發(fā)生sql注入攻擊。如果代碼使用存儲(chǔ)過程,而這些存儲(chǔ)過程作為包含未篩選的用戶輸入的字符串來傳遞,也會(huì)發(fā)生sql注入。 黑客通過SQL注入攻擊可以拿到網(wǎng)站數(shù)據(jù)庫的訪問權(quán)限,之后他們就可以拿到網(wǎng)站數(shù)據(jù)庫中所有的數(shù)據(jù),惡意的黑客可以通過SQL注入功能篡改數(shù)據(jù)庫中的數(shù)據(jù)甚至?xí)褦?shù)據(jù)庫中的數(shù)據(jù)毀壞掉。做為網(wǎng)絡(luò)開發(fā)者的你對(duì)這種黑客行為恨之入骨,當(dāng)然也有必要了解一下SQL注入這種功能方式的原理并學(xué)會(huì)如何通過代碼來保護(hù)自己的網(wǎng)站數(shù)據(jù)庫
2、sql注入產(chǎn)生原因
sql注入攻擊是利用是指利用設(shè)計(jì)上的漏洞,在目標(biāo)服務(wù)器上運(yùn)行Sql語句以及進(jìn)行其他方式的攻擊,動(dòng)態(tài)生成Sql語句時(shí)沒有對(duì)用戶輸入的數(shù)據(jù)進(jìn)行驗(yàn)證是Sql注入攻擊得逞的主要原因。對(duì)于java數(shù)據(jù)庫連接JDBC而言,SQL注入攻擊只對(duì)Statement有效,對(duì)PreparedStatement是無效的,這是因?yàn)镻reparedStatement不允許在不同的插入時(shí)間改變查詢的邏輯結(jié)構(gòu)。
如驗(yàn)證用戶是否存在的SQL語句為:
用戶名'and pswd='密碼
如果在用戶名字段中輸入: 'or 1=1或是在密碼字段中輸入:'or 1=1
將繞過驗(yàn)證,但這種手段只對(duì)只對(duì)Statement有效,對(duì)PreparedStatement無效。相對(duì)Statement有以下優(yōu)點(diǎn):
1.防注入攻擊
2.多次運(yùn)行速度快
3.防止數(shù)據(jù)庫緩沖區(qū)溢出
4.代碼的可讀性可維護(hù)性好
這四點(diǎn)使得PreparedStatement成為訪問數(shù)據(jù)庫的語句對(duì)象的首選,缺點(diǎn)是靈活性不夠好,有些場合還是必須使用Statement。
3、sql注入原理
下面我們來說一下sql注入原理,以使讀者對(duì)sql注入攻擊有一個(gè)感性的認(rèn)識(shí),至于其他攻擊,原理是一致的。
SQL注射能使攻擊者繞過認(rèn)證機(jī)制,完全控制遠(yuǎn)程服務(wù)器上的數(shù)據(jù)庫。 SQL是結(jié)構(gòu)化查詢語言的簡稱,它是訪問數(shù)據(jù)庫的事實(shí)標(biāo)準(zhǔn)。目前,大多數(shù)Web應(yīng)用都使用SQL數(shù)據(jù)庫來存放應(yīng)用程序的數(shù)據(jù)。幾乎所有的Web應(yīng)用在后臺(tái) 都使用某種SQL數(shù)據(jù)庫。跟大多數(shù)語言一樣,SQL語法允許數(shù)據(jù)庫命令和用戶數(shù)據(jù)混雜在一起的。如果開發(fā)人員不細(xì)心的話,用戶數(shù)據(jù)就有可能被解釋成命令, 這樣的話,遠(yuǎn)程用戶就不僅能向Web應(yīng)用輸入數(shù)據(jù),而且還可以在數(shù)據(jù)庫上執(zhí)行任意命令了。
SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯(lián)在一起并使得其以執(zhí)行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由于其直接與SQL語句捆綁,故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法,它將惡意代碼注入要在表中存儲(chǔ)或者作為原書據(jù)存儲(chǔ)的字符串。在存儲(chǔ)的字符串中會(huì)連接到一個(gè)動(dòng)態(tài)的SQL命令中,以執(zhí)行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串,然后追加一個(gè)新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時(shí)候,先用一個(gè)分號(hào)結(jié)束當(dāng)前的語句。然后再插入一個(gè)惡意SQL語句即可。由于插入的命令可能在執(zhí)行前追加其他字符串,因此攻擊者常常用注釋標(biāo)記“—”來終止注入的字符串。執(zhí)行時(shí),系統(tǒng)會(huì)認(rèn)為此后語句位注釋,故后續(xù)的文本將被忽略,不背編譯與執(zhí)行。
4、SQL注入攻擊的簡單示例:
這里我們舉一個(gè)比較常見的例子來簡要說明一下sql注入的原理。假如我們有一個(gè)users表,里面有兩個(gè)字段username和password。在我們的java代碼中我們初學(xué)者都習(xí)慣用sql拼接的方式進(jìn)行用戶驗(yàn)證。比如:"select id from users where username = '"+username +"' and password = '" + password +"'" 這里的username和password都是我們存取從web表單獲得的數(shù)據(jù)。下面我們來看一下一種簡單的注入,如果我們?cè)诒韱沃衭sername的輸入框中輸入' or 1=1-- ,password的表單中隨便輸入一些東西,假如這里輸入123.此時(shí)我們所要執(zhí)行的sql語句就變成了select id from users where username = '' or 1=1-- and password = '123',我們來看一下這個(gè)sql,因?yàn)?=1是true,后面 and password = '123'被注釋掉了。所以這里完全跳過了sql驗(yàn)證。
二、如何防御sql注入攻擊
1.采用預(yù)編譯語句集,它內(nèi)置了處理SQL注入的能力,只要使用它的setXXX方法傳值即可。
使用好處:
(1).代碼的可讀性和可維護(hù)性.
(2).PreparedStatement盡最大可能提高性能.
(3).最重要的一點(diǎn)是極大地提高了安全性.
String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery();
原理:sql注入只對(duì)sql語句的準(zhǔn)備(編譯)過程有破壞作用,而PreparedStatement已經(jīng)準(zhǔn)備好了,執(zhí)行階段只是把輸入串作為數(shù)據(jù)處理,而不再對(duì)sql語句進(jìn)行解析,準(zhǔn)備,因此也就避免了sql注入問題.
2.使用正則表達(dá)式過濾傳入的參數(shù)
正則表達(dá)式:
private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;
判斷是否匹配:
Pattern.matches(CHECKSQL,targerStr);
下面是具體的正則表達(dá)式:
檢測SQL meta-characters的正則表達(dá)式 :/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix
修正檢測SQL meta-characters的正則表達(dá)式 :/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i
典型的SQL 注入攻擊的正則表達(dá)式 :/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix
檢測SQL注入,UNION查詢關(guān)鍵字的正則表達(dá)式 :/((\%27)|(\'))union/ix(\%27)|(\')
檢測MS SQL Server SQL注入攻擊的正則表達(dá)式:/exec(\s|\+)+(s|x)p\w+/ix
等等…..
其實(shí)可以簡單的使用replace方法也可以實(shí)現(xiàn)上訴功能:
public static String TransactSQLInjection(String str) { return str.replaceAll(".*([';]+|(--)+).*", " "); }
3.字符串過濾
比較通用的一個(gè)方法:(||之間的參數(shù)可以根據(jù)自己程序的需要添加)
public static Boolean sql_inj(String str) { String inj_str = "'|and|exec|insert|select|delete|update| count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; String inj_stra[] = split(inj_str,"|"); for (int i=0 ; i < inj_stra.length ; i++ ) { if (str.indexOf(inj_stra[i])>=0) { return true; } } return false; }
4.jsp中調(diào)用該函數(shù)檢查是否包函非法字符
防止SQL從URL注入:
sql_inj.java代碼:
package sql_inj; import java.net.*; import java.io.*; import java.sql.*; import java.text.*; import java.lang.String; public class sql_inj{ public static Boolean sql_inj(String str) { String inj_str = "'|and|exec|insert|select|delete|update| count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; //這里的東西還可以自己添加 String[] inj_stra=inj_str.split("\\|"); for (int i=0 ; i < inj_stra.length ; i++ ) { if (str.indexOf(inj_stra[i])>=0) { return true; } } return false; } }
5.JSP頁面添加客戶端判斷代碼:
使用javascript在客戶端進(jìn)行不安全字符屏蔽
功能介紹:檢查是否含有”‘”,”\\”,”/”
參數(shù)說明:要檢查的字符串
返回值:0:是1:不是
function check(a) { return 1; fibdn = new Array (”‘” ,”\\”,”/”); i=fibdn.length; j=a.length; for (ii=0; ii<i; ii++) { for (jj=0; jj<j; jj++) { temp1=a.charAt(jj); temp2=fibdn[ii]; if (tem'; p1==temp2) { return 0; } } } return 1; }
以上就是SQL注入的原理有哪些,小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。