当前位置:网站首页>mysql advanced (twenty-four) method summary of defense against SQL injection

mysql advanced (twenty-four) method summary of defense against SQL injection

2022-08-03 11:40:00 InfoQ

一、前言 

这篇文章主要讲解了防御SQL注入的方法,介绍了什么是注入,注入的原因是什么,以及如何防御,需要的朋友可以参考下.
     SQL注入是一类危害极大的攻击形式.虽然危害很大,但是防御却远远没有XSS那么困难.
     SQL注入可以参见:
https://en.wikipedia.org/wiki/SQL_injection
     SQL注入漏洞存在的原因,就是拼接 SQL 参数.也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞.

二、Demonstrate the classicSQL注入

null
      我们看到:
select id,no from user where id=2;
      If the statement is throughsql字符串拼接得到的,比如: 
String sql = "select id,no from user where id=" + id;
      其中的 id Is a user input parameters,那么,如果用户输入的是 2, As seen above to a data,如果用户输入的是 2 or 1=1 进行sql注入攻击.
      那么看到,上面的语句(
select id,no from user where id=2 or 1=1;
)将userAll the records in a table is found out.
     这就是典型的sql注入.
      To see a list:

null

     我们看到通过 sql Injection is able to direct the table sqlinject 删除掉!Shows the harm!

三、sql注入的原因

      sql注入的原因,Ostensibly because string concatenation,构成sql语句,没有使用sql语句预编译,Bind variables caused by.
      But the deeper reason is that the user input string,当成了“sql语句”来执行.
      比如上面的
 String sql = "select id,no from user where id=" + id;
     我们希望用户输入的id的值,Just as a string literal,传入数据库执行,但是当输入了:2 or 1=1 时,其中的
 or 1=1 
并没有作为 
where id= 
的字面值,而是作为了 sql语句 来执行的.So it is the user's input data,As the command to perform.

四、sql注入的防御

     Basically use is known to all
sql语句预编译
绑定变量
,是防御sql注入的最佳方法.But the deeper reasons will not understand.
      String sql = "select id, no from user where id=?";

      PreparedStatement ps = conn.prepareStatement(sql);

      ps.setInt(1, id);

      ps.executeQuery();
      如上所示,就是典型的采用sql语句预编译和绑定变量.为什么这样就可以防止sql 注入呢?
      其原因就是:采用了
PreparedStatement
,就会将sql语句:"
select id, no from user where id=?
" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如
 select ,from ,where ,and, or ,order by 
等等.所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行,Must first get through the syntax analysis,生成
执行计划
,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数.所以sql语句预编译可以防御sql注入.
    但是,Not all scenarios to be able to use sql语句预编译,There are some scenes must adopt the way of string concatenation,此时,We have strict inspection parameter data types,And can use some safety function,来方式sql注入.
      比如
 String sql = "select id,no from user where id=" + id;
     Upon receiving the user input the parameters of the,We will strictly check id,只能是int型.Complex situations can use regular expressions to determine.This is also can preventsql注入的.
      The use of safety function,比如:  
      MySQLCodec codec = new MySQLCodec(Mode.STANDARD);

      name = ESAPI.encoder().encodeForSQL(codec, name);

      String sql = "select id,no from user where name=" + name;

      ESAPI.encoder().encodeForSQL(codec, name)
      该函数会将 name Code contains some special characters,这样 sql The engine will notnameThe string as asqlCommand to parse the.

五、总结

      实际项目中,We are commonly used in a variety of framework,比如
ibatis,mybatis,hibernate
等等.They are also typically the default issql预编译的.对于
ibatis/mybatis
,如果使用的是
#{name}
形式的,那么就是sql预编译,使用 
${name}
就不是sql预编译的.
      以上就是SQL注入防御方法总结,Hope to help everyone after learning.
原网站

版权声明
本文为[InfoQ]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/215/202208031136439676.html

边栏推荐

猜你喜欢

随机推荐