关于java:java安全编码指南之输入注入injection

简介

注入问题是平安中一个十分常见的问题，明天咱们来探讨一下java中的SQL注入和XML注入的防备。

SQL注入

什么是SQL注入呢？

SQL注入的意思是，用户输出了某些参数，最终导致SQL的执行偏离了程序设计者的本意，从而导致越权或者其余类型的谬误。

也就是说因为用户输出的起因，导致SQL的涵义发送了变动。

拿咱们最罕用的登录的SQL语句来说，咱们可能会写上面的SQL语句：

select * from user where username='<username>' and password='<password>'

咱们须要用户传入username和password。

怎么对这个SQL语句进行注入呢？

很简略，当用户的username输出是上面的状况时：

somebody' or '1'='1

那么整个SQL语句将会变成：

select * from user where username='somebody' or '1'='1' and password='<password>'

如果somebody是一个无效的用户，那么or前面的语言齐全不会执行，最终导致不校验明码就返回了用户的信息。

同样的，歹意攻击者能够给password输出上面的内容能够失去同样的后果：

' or '1'='1

整个SQL解析为：

select * from user where username='somebody' and password='' or '1'='1'

这条语句将会返回所有的用户信息，这样即便不晓得确定存在的用户名也能够通过SQL语句的判断。

这就是SQL注入。

java中的SQL注入

java中最罕用的就是通过JDBC来操作数据库，咱们应用JDBC创立好连贯之后，就能够执行SQL语句了。

上面咱们看一个java中应用JDBC SQL注入的例子。

先创立一个通用的JDBC连贯：

    public Connection getConnection() throws ClassNotFoundException, SQLException {        Connection con = null;            Class.forName("com.mysql.jdbc.Driver");            System.out.println("数据库驱动加载胜利");            con = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mysql?characterEncoding=UTF-8", "root", "");            System.out.println("数据库连贯胜利");          return con;    }

而后再本人拼装SQL语句而后调用：

public void jdbcWithInjection(String username,char[] password) throws SQLException, ClassNotFoundException {        Connection connection = getConnection();        if (connection == null) {            // Handle error        }        try {            String pwd = encodePassword(password);            String sqlString = "SELECT * FROM user WHERE username = '"                    + username +                    "' AND password = '" + pwd + "'";            Statement stmt = connection.createStatement();            ResultSet rs = stmt.executeQuery(sqlString);            if (!rs.next()) {                throw new SecurityException(                        "User name or password incorrect"                );            }        } finally {            try {                connection.close();            } catch (SQLException x) {            }        }    }

下面的例子中，只有username会产生注入，password不会，因为咱们应用了encodePassword办法对password进行了转换：

public String encodePassword(char[] password){        return Base64.getEncoder().encodeToString(new String(password).getBytes());    }

应用PreparedStatement

为了避免SQL注入，咱们个别举荐的是应用PreparedStatement，java.sql.PreparedStatement可对输出参数进行本义，从而避免SQL注入。

留神，肯定要正确的应用PreparedStatement，如果是不正确的应用，同样会造成SQL注入的后果。

上面看一个不正确应用的例子：

String sqlString = "SELECT * FROM user WHERE username = '"                    + username +                    "' AND password = '" + pwd + "'";            PreparedStatement stmt = connection.prepareStatement(sqlString);            ResultSet rs = stmt.executeQuery();

下面的代码中，咱们还是本人进行了SQL的拼装，尽管最初咱们应用了preparedStatement，然而没有达到成果。

正确应用的例子如下：

String sqlString =                    "select * from user where username=? and password=?";            PreparedStatement stmt = connection.prepareStatement(sqlString);            stmt.setString(1, username);            stmt.setString(2, pwd);            ResultSet rs = stmt.executeQuery();

咱们须要将用户输出作为参数set到PreparedStatement中去，这样才会进行本义。

XML中的SQL注入

可扩大标记语言（XML）旨在帮忙存储，结构化和传输数据。 因为其平台独立性，灵活性和绝对简略性，XML已在许多应用程序中失去应用。 然而，因为XML的多功能性，它容易受到包含XML注入在内的各种攻打的攻打。

那么什么是XML注入呢？咱们举个例子：

<item>  <name>Iphone20</name>  <price>5000.0</price>  <quantity>1</quantity></item>

下面的例子中，咱们应用了XML定义了一个iphone20的价格和数量。一个iphone20 5000块。

下面的XML中，如果quantity是用户输出的数据的话，那么用户能够这样输出：

1</quantity><price>20.0</price><quantity>1

最初得出的XML文件如下：

<item>  <name>Iphone20</name>  <price>5000.0</price>  <quantity>1</quantity>  <price>20.0</price><quantity>1</quantity></item>

一般来说，咱们在解析XML的过程中，如果发现有反复的tag，那么前面的tag会笼罩后面的tag。

后果就是1个iphone20当初的价格是20块，十分划算。

XML注入的java代码

咱们看下XML的注入在java代码中是怎么实现的：

    public String createXMLInjection(String quantity){        String xmlString = "<item>\n<name>Iphone20</name>\n"                + "<price>5000.0</price>\n" + "<quantity>" + quantity                + "</quantity></item>";        return xmlString;    }

能够看到咱们间接应用用户输出的quantity作为XML的拼接，这样做很显著是有问题的。

怎么解决呢？有两种办法。

• 第一种办法

第一种办法就是对用户输出的quantity进行校验：

    public String createXML(String quantity){        int count = Integer.parseUnsignedInt(quantity);        String xmlString = "<item>\n<name>Iphone20</name>\n"                + "<price>5000.0</price>\n" + "<quantity>" + count                + "</quantity></item>";        return xmlString;    }

下面代码中，咱们对quantity进行了Integer的转换，从而防止了用户的非法输出。

• 第二种办法

第二种办法是应用XML Schema，来对生成的XML进行格局校验。

先看一下咱们改怎么定义这个XML Schema：

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"><xs:element name="item">  <xs:complexType>    <xs:sequence>      <xs:element name="name" type="xs:string"/>      <xs:element name="price" type="xs:decimal"/>      <xs:element name="quantity" type="xs:nonNegativeInteger"/>    </xs:sequence>  </xs:complexType></xs:element></xs:schema>

下面咱们定义了一个XML element的序列sequence。如果用户输出了非定义格局的其余XML，就会报错。

咱们看下绝对应的java代码该怎么写：

StreamSource ss = new StreamSource(new File("schema.xsd"));            Schema schema = sf.newSchema(ss);            SAXParserFactory spf = SAXParserFactory.newInstance();            spf.setSchema(schema);            SAXParser saxParser = spf.newSAXParser();            XMLReader reader = saxParser.getXMLReader();            reader.setContentHandler(defHandler);            reader.parse(xmlStream);

下面咱们列出了XML验证的代码，残缺的代码能够参考文末的代码链接，这里就不一一贴出来了。

本文的代码：

learn-java-base-9-to-20/tree/master/security

本文已收录于 http://www.flydean.com/java-security-code-line-injection/

最艰深的解读，最粗浅的干货，最简洁的教程，泛滥你不晓得的小技巧等你来发现！

欢送关注我的公众号:「程序那些事」,懂技术，更懂你！