java程序防止sql注入的方法

12306刚爆出sql注入的漏洞（http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面，自重输入1'），之前一些关于sql注入的讨论大多数都是php程序的，想跟大家讨论一下java程序防止sql注入应该注意的地方。

第一种采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setString方法传值即可：

String
sql=
"select*
from users where username=?andpassword=?;

PreparedStatement
preState=
conn.prepareStatement(sql);

preState.setString(1,
userName);

preState.setString(2,
password);

ResultSet
rs=
preState.executeQuery();

...

第二种是采用正则表达式将包含有 单引号(')，分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

public
static
String TransactSQLInjection(String
str)

{

return
str.replaceAll(".*([';]+|(--)+).*","");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

String
sql="select * from users whereusername='"+userName+"'
and password='"+password+"' "

Statement
sta=
conn.createStatement();

ResultSet
rs=
sta.executeQuery(sql);

评论 (0) • 链接 • 2012-10-03

3 票

1。数据库访问用预定义会话PreparedStatement，从根本上防止SQL截断

2。后台过滤，简单的验证数据格式/长度正确，至于过滤/转义各种特殊符号由第一步说的来处理；对于那些必须登录后才能操作的，首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作

3。前台过滤，对于必要的input输入信息进行格式验证；尤其有对于用户名、密码之类的页面最好设置验证码（防止猜测的注入，减轻服务器压力）

我们一般是用java代码和前台js判断两个结合来防止sql注入

java代码这块一般就是PreparedStatement函数，js就是判断页面的输入是否有关键字，然后后台代码部分加一个过滤器，判断每次提交时候的参数里是否有关键字。

下面顺便提一下hibernate防止SQL注入攻击的方法
永远也不要写这样的代码：

StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";

Listresult = session.createQuery(queryString).list();

如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar，则你的程序在执行一个简单查询后，还会调用某个存储过程，

这样你的程序就开了一个安全漏洞，如果用户偶尔输入了一个单引号，你的程序就可能报错。

永远也不要把未经检查的用户输入的值直接传给数据库！

幸运的是有一个简单的机制可以避免这种错误：

JDBC在绑定参数时有一个安全机制，它可以准确的将那些需要转义的字符进行转义（escape），

如上面的searchString，它被escape，不再作为一个控制字符了，而是作为被查询的匹配的字符串的一部分。（这里指的是preparedstatement，而是用普通的statment不行，我试过）。

另外，如果我们使用参数绑定，还可以提高数据库的执行效率，preparedstatement语句被编译一次后，被放在cache中，就不再需要编译，可以提高效率。

参数绑定有2种办法：使用positional parameter或者named parameter。

Hibernate支持JDBC样式的positional parameter（查询字符串中使用？），它同使用namedparameter的效果一样（查询字符串中使用:）。

使用named parameter

使用named parameter，我们重新写上面的查询语句：

String queryString = "from Item item where item.description like:searchString";

冒号后面是一个named parameter，我们可以使用Query接口将一个参数绑定到searchString参数上：

Listresult = session.createQuery(queryString)

.setString("searchString",searchString)

.list();

因为searchString是一个用户输入的字符串，所以我们使用Query的setString()方法进行参数绑定，这样代码更清晰，更安全，效率更好！

如果有多个参数需要被帮定，我们这样处理：

String queryString = "from Item item "

+"where item.description like :searchString "

+"and item.date > :minDate";

List result = session.createQuery(queryString)

.setString("searchString",searchString)

.setDate("minDate",minDate)

.list();

使用positional parameter

如果你喜欢，也可以使用positionalparameter：

String queryString = "from Item item "

+"where item.description like ? "

+"and item.date > ?";

List result = session.createQuery(queryString)

.setString(0,searchString)

.setDate(1,minDate)

.list();

这段代码可读性强不如上面的强，而且可维护性差，如果我们的查询稍微改变一点，将第一个参数和第二个参数改变一下位置：

String queryString = "from Item item "

+"where item.date > ? "

+"and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改，所以我们强烈建议使用namedparameter方式进行参数绑定。

最后，在named parameter中可能有一个参数出现多次的情况，应该怎么处理呢？

String userSearch = "from User u where u.username like:searchString"

+" or u.email like :searchString";

List result = session.createQuery(userSearch)

.setString("searchString",searchString)

.list();

不要使用

为了防止SQL注入，避免使用拼凑SQL语句的方式！！！

在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如：

[java] viewplaincopy

Date startTime = new Date();

Date endTime = new Date();

String queryString = "from SdmsRacalertLog as log where" +

" log.alertTime between :startTime and :endTime";

return getHibernateTemplate().find(queryString, startTime, endTime);