Pembangunan Java: Cara Mengekod Keselamatan dan Perlindungan Keterdedahan

Pembangunan Java: Keselamatan Kod dan Perlindungan Keterdedahan

Abstrak:
Dalam era Internet semasa, keselamatan kod dan perlindungan kelemahan adalah penting untuk pembangunan Java. Artikel ini akan memperkenalkan beberapa risiko dan kelemahan keselamatan kod biasa dan menyediakan penyelesaian yang sepadan. Pada masa yang sama, contoh kod konkrit digunakan untuk menunjukkan cara menghalang isu keselamatan ini.

1. Keselamatan kata laluan
   Kata laluan ialah risiko keselamatan biasa dan terdedah kepada serangan seperti peretasan kekerasan dan pemadat bukti. Untuk memastikan keselamatan kata laluan, berikut ialah beberapa cadangan:
   (1) Gunakan algoritma kriptografi yang kompleks: seperti SHA-256, BCrypt, dsb., dan elakkan menggunakan algoritma penyulitan sehala MD5.
   (2) Tambahkan garam untuk menyimpan kata laluan: Tingkatkan keselamatan penyimpanan kata laluan dengan menambahkan rentetan rawak (garam) pada kata laluan dan kemudian menyulitkannya.
   (3) Gunakan kod pengesahan: Apabila pengguna log masuk dan mendaftar, gunakan kod pengesahan untuk melindungi akaun pengguna daripada serangan berniat jahat.

Contoh kod:

import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.RandomStringUtils;

public class PasswordUtils {
    private static final int SALT_LENGTH = 16;
    
    public static String encryptPassword(String password) {
        String salt = RandomStringUtils.randomAlphanumeric(SALT_LENGTH);
        String encryptedPassword = DigestUtils.sha256Hex(password + salt);
        return salt + encryptedPassword;
    }
    
    public static boolean checkPassword(String inputPassword, String storedPassword) {
        String salt = storedPassword.substring(0, SALT_LENGTH);
        String encryptedInputPassword = DigestUtils.sha256Hex(inputPassword + salt);
        return storedPassword.equals(salt + encryptedInputPassword);
    }
}

2. SQL injection attack
   SQL injection attack merujuk kepada memusnahkan keselamatan pangkalan data oleh pengguna yang memasukkan kod SQL berniat jahat. Berikut ialah beberapa cara untuk mengelakkan serangan suntikan SQL:
   (1) Jangan sekali-kali sambung pernyataan SQL secara langsung, tetapi gunakan pertanyaan berparameter atau pernyataan yang disediakan.
   (2) Pengesahan dan penapisan input: Sahkan, tapis dan larikan input pengguna untuk memastikan tiada kod hasad dalam input pengguna.

Contoh kod:

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class DatabaseUtils {
    public static void main(String[] args) {
        String username = "admin'; DROP TABLE users; --";
        String password = "pass123";

        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;

        try {
            conn = getConnection();
            String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
            pstmt = conn.prepareStatement(sql);
            pstmt.setString(1, username);
            pstmt.setString(2, password);
            
            rs = pstmt.executeQuery();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            closeResources(conn, pstmt, rs);
        }
    }

    private static Connection getConnection() throws SQLException {
        // 获取数据库连接
        return null;
    }

    private static void closeResources(Connection conn, PreparedStatement pstmt, ResultSet rs) {
        // 关闭数据库连接和其他资源
    }
}

3. Serangan skrip merentas tapak (XSS)
   Serangan XSS bermakna penyerang memperoleh maklumat sensitif pengguna dengan menyuntik kod skrip berniat jahat pada tapak web. Berikut adalah beberapa kaedah untuk mencegah serangan XSS:
   (1) Mengesahkan dan menapis input pengguna, terutamanya melarikan diri daripada aksara khas.
   (2) Apabila mengeluarkan data ke halaman, gunakan kaedah pengekodan yang sesuai untuk pemprosesan.

Contoh kod:

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>XSS Prevention</title>
</head>
<body>
    <h1>Welcome <%= StringEscapeUtils.escapeHtml4(request.getParameter("name")) %></h1>
</body>
</html>

4. Kerentanan muat naik fail
   Kerentanan muat naik fail bermakna penyerang boleh melaksanakan arahan jauh dengan memuat naik fail yang mengandungi kod hasad. Berikut ialah beberapa cara untuk mengelakkan kelemahan muat naik fail:
   (1) Hadkan jenis dan saiz fail yang dimuat naik dengan ketat.
   (2) Gunakan nama fail rawak dan laluan storan selamat.

Contoh kod:

import java.io.File;
import java.io.IOException;
import java.util.UUID;

public class FileUploadUtils {
    public static void main(String[] args) {
        String fileName = "evil_script.jsp";
        File file = new File("/uploads/" + UUID.randomUUID().toString() + ".jpg");

        try {
            file.createNewFile();
            // 处理上传文件的逻辑
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

Kesimpulan:
Keselamatan kod dan perlindungan kelemahan adalah penting untuk pembangunan Java. Artikel ini menerangkan penyelesaian kepada keselamatan kata laluan, serangan suntikan SQL, serangan skrip merentas tapak dan kelemahan muat naik fail serta menyediakan contoh kod yang sepadan. Pembangun hendaklah sentiasa berwaspada dan mengambil langkah keselamatan yang sewajarnya untuk mengelakkan isu dan kelemahan keselamatan kod.

Atas ialah kandungan terperinci Pembangunan Java: Cara Mengekod Keselamatan dan Perlindungan Keterdedahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!