java程序防止sql注入的方法
2013-01-25 10:50
549 查看
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String
sql=
"select*
from users where username=?andpassword=?;
PreparedStatement
preState=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs=
preState.executeQuery();
...
第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
public
static
String TransactSQLInjection(String
str)
{
return
str.replaceAll(".*([';]+|(--)+).*","");
}
userName=TransactSQLInjection(userName);
password=TransactSQLInjection(password);
String
sql="select * from users whereusername='"+userName+"'
and password='"+password+"' "
Statement
sta=
conn.createStatement();
ResultSet
rs=
sta.executeQuery(sql);
评论 (0) • 链接 • 2012-10-03
3 票
1。数据库访问用预定义会话PreparedStatement,从根本上防止SQL截断
2。后台过滤,简单的验证数据格式/长度正确,至于过滤/转义各种特殊符号由第一步说的来处理;对于那些必须登录后才能操作的,首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作
3。前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)
我们一般是用java代码和前台js判断两个结合来防止sql注入
java代码这块一般就是PreparedStatement函数,js就是判断页面的输入是否有关键字,然后后台代码部分加一个过滤器,判断每次提交时候的参数里是否有关键字。
下面顺便提一下hibernate防止SQL注入攻击的方法
永远也不要写这样的代码:
StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";
Listresult = session.createQuery(queryString).list();
如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
永远也不要把未经检查的用户输入的值直接传给数据库!
幸运的是有一个简单的机制可以避免这种错误:
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是preparedstatement,而是用普通的statment不行,我试过)。
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,preparedstatement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
参数绑定有2种办法:使用positional parameter或者named parameter。
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用namedparameter的效果一样(查询字符串中使用:)。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like:searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
Listresult = session.createQuery(queryString)
.setString("searchString",searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "
+"where item.description like :searchString "
+"and item.date > :minDate";
List result = session.createQuery(queryString)
.setString("searchString",searchString)
.setDate("minDate",minDate)
.list();
使用positional parameter
如果你喜欢,也可以使用positionalparameter:
String queryString = "from Item item "
+"where item.description like ? "
+"and item.date > ?";
List result = session.createQuery(queryString)
.setString(0,searchString)
.setDate(1,minDate)
.list();
这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
String queryString = "from Item item "
+"where item.date > ? "
+"and item.description like ?";
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用namedparameter方式进行参数绑定。
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
String userSearch = "from User u where u.username like:searchString"
+" or u.email like :searchString";
List result = session.createQuery(userSearch)
.setString("searchString",searchString)
.list();
不要使用
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!
在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如:
[java] viewplaincopy
Date startTime = new Date();
Date endTime = new Date();
String queryString = "from SdmsRacalertLog as log where" +
" log.alertTime between :startTime and :endTime";
return getHibernateTemplate().find(queryString, startTime, endTime);
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
String
sql=
"select*
from users where username=?andpassword=?;
PreparedStatement
preState=
conn.prepareStatement(sql);
preState.setString(1,
userName);
preState.setString(2,
password);
ResultSet
rs=
preState.executeQuery();
...
第二种是采用正则表达式将包含有 单引号('),分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入
public
static
String TransactSQLInjection(String
str)
{
return
str.replaceAll(".*([';]+|(--)+).*","");
}
userName=TransactSQLInjection(userName);
password=TransactSQLInjection(password);
String
sql="select * from users whereusername='"+userName+"'
and password='"+password+"' "
Statement
sta=
conn.createStatement();
ResultSet
rs=
sta.executeQuery(sql);
评论 (0) • 链接 • 2012-10-03
3 票
1。数据库访问用预定义会话PreparedStatement,从根本上防止SQL截断
2。后台过滤,简单的验证数据格式/长度正确,至于过滤/转义各种特殊符号由第一步说的来处理;对于那些必须登录后才能操作的,首先验证session("username")==''or session("userpwd")=='')等条件直接禁止操作
3。前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)
我们一般是用java代码和前台js判断两个结合来防止sql注入
java代码这块一般就是PreparedStatement函数,js就是判断页面的输入是否有关键字,然后后台代码部分加一个过滤器,判断每次提交时候的参数里是否有关键字。
下面顺便提一下hibernate防止SQL注入攻击的方法
永远也不要写这样的代码:
StringqueryString = "from Item i where i.descriptionlike '" + searchString + "'";
Listresult = session.createQuery(queryString).list();
如果用户输入:foo'and callSomeStoredProcedure() and 'bar' ='bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
永远也不要把未经检查的用户输入的值直接传给数据库!
幸运的是有一个简单的机制可以避免这种错误:
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是preparedstatement,而是用普通的statment不行,我试过)。
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,preparedstatement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
参数绑定有2种办法:使用positional parameter或者named parameter。
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用namedparameter的效果一样(查询字符串中使用:)。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like:searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
Listresult = session.createQuery(queryString)
.setString("searchString",searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "
+"where item.description like :searchString "
+"and item.date > :minDate";
List result = session.createQuery(queryString)
.setString("searchString",searchString)
.setDate("minDate",minDate)
.list();
使用positional parameter
如果你喜欢,也可以使用positionalparameter:
String queryString = "from Item item "
+"where item.description like ? "
+"and item.date > ?";
List result = session.createQuery(queryString)
.setString(0,searchString)
.setDate(1,minDate)
.list();
这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
String queryString = "from Item item "
+"where item.date > ? "
+"and item.description like ?";
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用namedparameter方式进行参数绑定。
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
String userSearch = "from User u where u.username like:searchString"
+" or u.email like :searchString";
List result = session.createQuery(userSearch)
.setString("searchString",searchString)
.list();
不要使用
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!
在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(StringqueryString, Object value...Object value)来实现namedparameter。比如:
[java] viewplaincopy
Date startTime = new Date();
Date endTime = new Date();
String queryString = "from SdmsRacalertLog as log where" +
" log.alertTime between :startTime and :endTime";
return getHibernateTemplate().find(queryString, startTime, endTime);
相关文章推荐
- java程序防止sql注入的方法
- JAVA程序防止SQL注入的方法
- java持久层框架mybatis防止sql注入的方法
- java 防止sql注入的方法(非原创)
- .net程序防止sql注入的方法
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- 防止sql注入方法 如何防止java中将MySQL的数据库验证密码加上 ' or '1'= '1 就可以出现万能密码 的PreparedStatement
- java 防止sql注入的简单方法
- 防止通过POST和GET方法SQL注入的两个最彻底过滤程序
- java 防止sql注入的简单方法
- .net程序防止sql注入的方法
- 防止你的Java程序被反编译的方法
- 关于java程序SQL注入的解析以及解决方法
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- Java程序连接数据库的四种方法
- Java防止SQL注入
- php防止sql注入的方法详解
- 常用的java方法,为程序添点小功能
- ASP.NET防止Sql注入的解决方法