>Java >java지도 시간 >Java에서 SQL 삽입을 방지하는 방법에 대한 자세한 소개

Java에서 SQL 삽입을 방지하는 방법에 대한 자세한 소개

黄舟
黄舟원래의
2017-08-22 10:29:291972검색

이 글은 주로 SQL 인젝션을 피하는 방법을 소개하는 글인데, 편집자는 꽤 좋다고 생각해서 공유해봅니다. 편집자를 따라가서 살펴보겠습니다

1. 일반 사용자와 시스템 관리자 사용자의 권한은 엄격하게 구분되어야 합니다.

일반 사용자가 쿼리문에 다른 Drop Table 문을 삽입한 경우에도 실행이 허용되나요? Drop 문은 데이터베이스의 기본 개체와 관련되어 있으므로 해당 사용자가 이 문을 조작하려면 관련 권한이 있어야 합니다. 권한 설계에서는 최종 사용자, 즉 응용 소프트웨어 사용자에게 데이터베이스 개체를 생성하고 삭제할 수 있는 권한을 부여할 필요가 없습니다. 따라서 사용하는 SQL문에 악성코드가 내장되어 있더라도 사용자 권한 제한으로 인해 해당 코드는 실행되지 않습니다. 따라서 응용프로그램을 설계할 때 시스템 관리자 사용자와 일반 사용자를 구별하는 것이 가장 좋습니다. 이를 통해 데이터베이스에 대한 주입 공격으로 인한 피해를 최소화할 수 있습니다.

2. 매개변수화된 문을 강제로 사용합니다.

SQL 문을 작성할 때 사용자가 입력한 변수가 SQL 문에 직접 포함되지 않는 경우. 이 변수를 매개변수를 통해 전달하면 SQL 주입 공격을 효과적으로 방지할 수 있습니다. 즉, 사용자 입력이 SQL 문에 직접 포함되어서는 안 됩니다. 대조적으로, 사용자 입력은 필터링되어야 하거나 매개변수화된 명령문을 사용하여 사용자 입력 변수를 전달해야 합니다. 매개변수화된 문은 사용자 입력 변수를 SQL 문에 포함하는 대신 매개변수를 사용합니다. 이 방법을 사용하면 대부분의 SQL 주입 공격을 제거할 수 있습니다. 불행하게도 매개변수화된 문을 지원하는 데이터베이스 엔진은 많지 않습니다. 그러나 데이터베이스 엔지니어는 제품을 개발할 때 매개변수화된 문을 사용하도록 노력해야 합니다.

3. 사용자 입력 검증을 강화합니다.

일반적으로 SQL 주입 공격을 방지하는 방법에는 두 가지가 있습니다. 하나는 사용자 입력 내용에 대한 검사 및 검증을 강화하는 것이고, 두 번째는 매개변수화된 명령문을 사용하여 사용자 입력 내용을 강제로 전달하는 것입니다. SQLServer 데이터베이스에는 관리자가 SQL 삽입 공격을 처리하는 데 도움이 될 수 있는 사용자 입력 내용 확인 도구가 많이 있습니다. 문자열 변수의 내용을 테스트하고 필요한 값만 허용합니다. 바이너리 데이터, 이스케이프 시퀀스 및 주석 문자가 포함된 입력을 거부합니다. 이는 스크립트 삽입을 방지하고 특정 버퍼 오버플로 공격을 방지하는 데 도움이 됩니다. 사용자 입력의 크기와 데이터 유형을 테스트하고 적절한 제한과 변환을 적용합니다. 이는 의도적인 버퍼 오버플로를 방지하는 데 도움이 되며 주입 공격을 방지하는 데 상당한 효과가 있습니다.

4. SQL Server 데이터베이스와 함께 제공되는 보안 매개변수를 사용하세요.

SQL Server 데이터베이스에 대한 주입 공격의 부작용을 줄이기 위해 SQL Server 데이터베이스에는 상대적으로 안전한 SQL 매개 변수가 특별히 설계되었습니다. 데이터베이스 설계 과정에서 엔지니어는 이러한 매개변수를 사용하여 악의적인 SQL 주입 공격을 방지해야 합니다.

5. 다중 계층 환경에서 SQL 주입 공격을 방지하는 방법은 무엇입니까?

다중 응용 프로그램 환경에서는 사용자가 입력한 모든 데이터를 검증해야 신뢰할 수 있는 영역에 들어갈 수 있습니다. 검증 프로세스에 실패한 데이터는 데이터베이스에서 거부되어야 하며 오류 메시지가 다음 수준으로 반환됩니다. 다계층 검증을 구현합니다. 목적이 없는 악의적인 사용자에 대해 취한 예방 조치는 결심한 공격자에게는 효과적이지 않을 수 있습니다. 더 나은 접근 방식은 사용자 인터페이스와 신뢰 경계를 넘어 모든 후속 지점에서 입력을 검증하는 것입니다. 예를 들어 클라이언트 애플리케이션에서 데이터의 유효성을 검사하면 간단한 스크립트 삽입을 방지할 수 있습니다. 그러나 다음 계층에서 입력이 검증되었다고 생각하면 클라이언트를 우회할 수 있는 악의적인 사용자는 시스템에 제한 없이 액세스할 수 있습니다. 따라서 다계층 애플리케이션 환경에서는 주입 공격을 방지할 때 모든 계층이 함께 협력해야 하며, SQL 문 주입 공격을 방지하려면 클라이언트와 데이터베이스 측에서 해당 조치를 취해야 합니다.

6. 필요한 경우 전문적인 취약점 검색 도구를 사용하여 가능한 공격 지점을 찾으세요.

전문적인 취약점 검색 도구를 사용하면 관리자가 SQL 주입 공격의 가능한 지점을 찾는 데 도움이 될 수 있습니다. 그러나 취약점 검색 도구는 공격 지점만 발견할 수 있을 뿐 SQL 주입 공격을 적극적으로 방어할 수는 없습니다. 물론 이 도구는 공격자가 자주 사용합니다. 예를 들어 공격자는 이 도구를 이용해 자동으로 공격 대상을 찾아 공격을 수행할 수 있다. 이러한 이유로 필요한 경우 기업은 전문적인 취약점 검색 도구에 투자해야 합니다. 완전한 취약점 스캐너는 특히 데이터베이스에서 SQL 주입 취약점을 찾는다는 점에서 네트워크 스캐너와 다릅니다. 최신 취약점 스캐너는 최근에 발견된 취약점을 찾습니다. 따라서 전문 도구는 관리자가 SQL 주입 취약점을 발견하고 SQL 주입 공격을 방지하기 위한 적극적인 조치를 취하도록 관리자에게 상기시키는 데 도움이 될 수 있습니다. 데이터베이스 관리자가 공격자가 발견할 수 있는 SQL 주입 취약점을 발견하고 이를 차단하기 위한 적극적인 조치를 취한다면 공격자는 더 이상 시작할 수 없게 됩니다.

上面主要是介绍了在web应用程序中对sql注入的大体解决思路,下面我们就根据java web应用程序的特征来具体说明一下如何解决在java web应用程序中的sql注入问题。

1.采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

使用好处:

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.


String sql= "select * from users where username=? and password=?; 
     PreparedStatement preState = conn.prepareStatement(sql); 
     preState.setString(1, userName); 
     preState.setString(2, password); 
     ResultSet rs = preState.executeQuery();

原理:sql注入只对sql语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

正则表达式:


private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配:


Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式:

检测SQL meta-characters的正则表达式 :/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 :/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入,UNION查询关键字的正则表达式 :/((\%27)|(\'))union/ix(\%27)|(\')

检测MS SQL Server SQL注入攻击的正则表达式:/exec(\s|\+)+(s|x)p\w+/ix

等等…..

其实可以简单的使用replace方法也可以实现上诉功能:


 public static String TransactSQLInjection(String str)
     {
        return str.replaceAll(".*([';]+|(--)+).*", " ");
     }

3.字符串过滤

比较通用的一个方法:(||之间的参数可以根据自己程序的需要添加)


public static boolean sql_inj(String str) 
{ 
String inj_str = "'|and|exec|insert|select|delete|update| 
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; 
String inj_stra[] = split(inj_str,"|"); 
for (int i=0 ; i < inj_stralength ; i++ ) 
{ 
if (str.indexOf(inj_stra[i])>=0) 
{ 
return true; 
} 
} 
return false; 
}

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入:

sql_inj.java代码:


package sql_inj; 
import java.net.*; 
import java.io.*; 
import java.sql.*; 
import java.text.*; 
import java.lang.String; 
public class sql_inj{ 
public static boolean sql_inj(String str) 
{ 
String inj_str = "&#39;|and|exec|insert|select|delete|update| 
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; 
//这里的东西还可以自己添加 
String[] inj_stra=inj_strsplit("\\|"); 
for (int i=0 ; i < inj_stra.length ; i++ ) 
{ 
if (str.indexOf(inj_stra[i])>=0) 
{ 
return true; 
} 
} 
return false; 
} 
}

 5.JSP页面添加客户端判断代码:

使用JavaScript在客户端进行不安全字符屏蔽

功能介绍:检查是否含有”‘”,”\\”,”/”

参数说明:要检查的字符串

返回值:0:是1:不是

函数名是


function check(a) 
{ 
return 1; 
fibdn = new Array (”‘” ,”\\”,”/”); 
i=fibdn.length; 
j=a.length; 
for (ii=0; ii<i; ii++) 
{ for (jj=0; jj<j; jj++) 
{ temp1=a.charAt(jj); 
temp2=fibdn[ii]; 
if (tem&#39;; p1==temp2) 
{ return 0; } 
} 
} 
return 1; 
}

 关于安全性,本文可总结出一下几点:

1.要对用户输入的内容保持警惕。

2.只在客户端进行输入验证等于没有验证。

3.永远不要把服务器错误信息暴露给用户。

위 내용은 Java에서 SQL 삽입을 방지하는 방법에 대한 자세한 소개의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.