简介
注入问题是平安中一个十分常见的问题,明天咱们来探讨一下java中的SQL注入和XML注入的防备。
SQL注入
什么是SQL注入呢?
SQL注入的意思是,用户输出了某些参数,最终导致SQL的执行偏离了程序设计者的本意,从而导致越权或者其余类型的谬误。
也就是说因为用户输出的起因,导致SQL的涵义发送了变动。
拿咱们最罕用的登录的SQL语句来说,咱们可能会写上面的SQL语句:
select * from user where username='<username>' and password='<password>'咱们须要用户传入username和password。
怎么对这个SQL语句进行注入呢?
很简略,当用户的username输出是上面的状况时:
somebody' or '1'='1那么整个SQL语句将会变成:
select * from user where username='somebody' or '1'='1' and password='<password>'如果somebody是一个无效的用户,那么or前面的语言齐全不会执行,最终导致不校验明码就返回了用户的信息。
同样的,歹意攻击者能够给password输出上面的内容能够失去同样的后果:
' or '1'='1整个SQL解析为:
select * from user where username='somebody' and password='' or '1'='1'这条语句将会返回所有的用户信息,这样即便不晓得确定存在的用户名也能够通过SQL语句的判断。
这就是SQL注入。
java中的SQL注入
java中最罕用的就是通过JDBC来操作数据库,咱们应用JDBC创立好连贯之后,就能够执行SQL语句了。
上面咱们看一个java中应用JDBC SQL注入的例子。
先创立一个通用的JDBC连贯:
public Connection getConnection() throws ClassNotFoundException, SQLException {
Connection con = null;
Class.forName("com.mysql.jdbc.Driver");
System.out.println("数据库驱动加载胜利");
con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mysql?characterEncoding=UTF-8", "root", "");
System.out.println("数据库连贯胜利");
return con;
}而后再本人拼装SQL语句而后调用:
public void jdbcWithInjection(String username,char[] password) throws SQLException, ClassNotFoundException {
Connection connection = getConnection();
if (connection == null) {
// Handle error
}
try {
String pwd = encodePassword(password);
String sqlString = "SELECT * FROM user WHERE username = '"
+ username +
"' AND password = '" + pwd + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sqlString);
if (!rs.next()) {
throw new SecurityException(
"User name or password incorrect"
);
}
} finally {
try {
connection.close();
} catch (SQLException x) {
}
}
}下面的例子中,只有username会产生注入,password不会,因为咱们应用了encodePassword办法对password进行了转换:
public String encodePassword(char[] password){
return Base64.getEncoder().encodeToString(new String(password).getBytes());
}应用PreparedStatement
为了避免SQL注入,咱们个别举荐的是应用PreparedStatement,java.sql.PreparedStatement可对输出参数进行本义,从而避免SQL注入。
留神,肯定要正确的应用PreparedStatement,如果是不正确的应用,同样会造成SQL注入的后果。
上面看一个不正确应用的例子:
String sqlString = "SELECT * FROM user WHERE username = '"
+ username +
"' AND password = '" + pwd + "'";
PreparedStatement stmt = connection.prepareStatement(sqlString);
ResultSet rs = stmt.executeQuery();下面的代码中,咱们还是本人进行了SQL的拼装,尽管最初咱们应用了preparedStatement,然而没有达到成果。
正确应用的例子如下:
String sqlString =
"select * from user where username=? and password=?";
PreparedStatement stmt = connection.prepareStatement(sqlString);
stmt.setString(1, username);
stmt.setString(2, pwd);
ResultSet rs = stmt.executeQuery();咱们须要将用户输出作为参数set到PreparedStatement中去,这样才会进行本义。
XML中的SQL注入
可扩大标记语言(XML)旨在帮忙存储,结构化和传输数据。 因为其平台独立性,灵活性和绝对简略性,XML已在许多应用程序中失去应用。 然而,因为XML的多功能性,它容易受到包含XML注入在内的各种攻打的攻打。
那么什么是XML注入呢?咱们举个例子:
<item>
<name>Iphone20</name>
<price>5000.0</price>
<quantity>1</quantity>
</item>下面的例子中,咱们应用了XML定义了一个iphone20的价格和数量。一个iphone20 5000块。
下面的XML中,如果quantity是用户输出的数据的话,那么用户能够这样输出:
1</quantity><price>20.0</price><quantity>1最初得出的XML文件如下:
<item>
<name>Iphone20</name>
<price>5000.0</price>
<quantity>1</quantity>
<price>20.0</price><quantity>1</quantity>
</item>一般来说,咱们在解析XML的过程中,如果发现有反复的tag,那么前面的tag会笼罩后面的tag。
后果就是1个iphone20当初的价格是20块,十分划算。
XML注入的java代码
咱们看下XML的注入在java代码中是怎么实现的:
public String createXMLInjection(String quantity){
String xmlString = "<item>\n<name>Iphone20</name>\n"
+ "<price>5000.0</price>\n" + "<quantity>" + quantity
+ "</quantity></item>";
return xmlString;
}能够看到咱们间接应用用户输出的quantity作为XML的拼接,这样做很显著是有问题的。
怎么解决呢?有两种办法。
- 第一种办法
第一种办法就是对用户输出的quantity进行校验:
public String createXML(String quantity){
int count = Integer.parseUnsignedInt(quantity);
String xmlString = "<item>\n<name>Iphone20</name>\n"
+ "<price>5000.0</price>\n" + "<quantity>" + count
+ "</quantity></item>";
return xmlString;
}下面代码中,咱们对quantity进行了Integer的转换,从而防止了用户的非法输出。
- 第二种办法
第二种办法是应用XML Schema,来对生成的XML进行格局校验。
先看一下咱们改怎么定义这个XML Schema:
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="item">
<xs:complexType>
<xs:sequence>
<xs:element name="name" type="xs:string"/>
<xs:element name="price" type="xs:decimal"/>
<xs:element name="quantity" type="xs:nonNegativeInteger"/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>下面咱们定义了一个XML element的序列sequence。如果用户输出了非定义格局的其余XML,就会报错。
咱们看下绝对应的java代码该怎么写:
StreamSource ss = new StreamSource(new File("schema.xsd"));
Schema schema = sf.newSchema(ss);
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setSchema(schema);
SAXParser saxParser = spf.newSAXParser();
XMLReader reader = saxParser.getXMLReader();
reader.setContentHandler(defHandler);
reader.parse(xmlStream);下面咱们列出了XML验证的代码,残缺的代码能够参考文末的代码链接,这里就不一一贴出来了。
本文的代码:
learn-java-base-9-to-20/tree/master/security
本文已收录于 http://www.flydean.com/java-security-code-line-injection/
最艰深的解读,最粗浅的干货,最简洁的教程,泛滥你不晓得的小技巧等你来发现!
欢送关注我的公众号:「程序那些事」,懂技术,更懂你!
发表回复