讓你徹底明白sql注入攻擊

時(shí)間：2020-12-23 09:48:00

關(guān)鍵字：信息安全

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊常用的手段之一，隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。

SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊常用的手段之一，隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想獲取的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

一、背景

假如某高校開(kāi)發(fā)了一個(gè)網(wǎng)課系統(tǒng)，要求學(xué)生選課后完成學(xué)習(xí)，數(shù)據(jù)庫(kù)中有一張表course，這張表存放著每個(gè)學(xué)生的選課信息及完成情況，具體設(shè)計(jì)如下：

數(shù)據(jù)如下：

本系統(tǒng)采用mysql做為數(shù)據(jù)庫(kù)，使用Jdbc來(lái)進(jìn)行數(shù)據(jù)庫(kù)的相關(guān)操作。系統(tǒng)提供了一個(gè)功能查詢?cè)搶W(xué)生的課程完成情況，代碼如下。

@RestController
public?class?Controller?{
????
????@Autowired
????SqlInject?sqlInject;
????
????@GetMapping("list")
????public?List?courseList(@RequestParam("studentId")?String?studentId){
????????List?orders?=?sqlInject.orderList(studentId);
????????return?orders;
????}
}

@Service
public?class?SqlInject?{

????@Autowired
????private?JdbcTemplate?jdbcTemplate;
????
????public?List?orderList(String?studentId){
????????String?sql?=?"select?id,course_id,student_id,status?from?course?where?student_id?=?"+?studentId;
????????return?jdbcTemplate.query(sql,new?BeanPropertyRowMapper(Course.class));
????}
}

二、注入攻擊演示

**1 **. 正常情況下查詢一個(gè)學(xué)生所選課程及完成情況只需要傳入student_id，便可以查到相關(guān)數(shù)據(jù)。

根據(jù)響應(yīng)結(jié)果，我們很快便能寫(xiě)出對(duì)應(yīng)的sql，如下：

select?id,course_id,student_id,status?
from?course?
where?student_id?=?4

2. 如果我們想要獲取這張表的所有數(shù)據(jù)，只需要保證上面這個(gè)sql的where條件恒真就可以了。

select?id,course_id,student_id,status?
from?course?
where?student_id?=?4?or?1?=?1?

請(qǐng)求接口的時(shí)候?qū)?code style="font-size: 14px;overflow-wrap: break-word;padding: 2px 4px;border-radius: 4px;margin-right: 2px;margin-left: 2px;background-color: rgba(27, 31, 35, 0.05);font-family: "Operator Mono", Consolas, Monaco, Menlo, monospace;word-break: break-all;color: rgb(40, 202, 113);">studendId 設(shè)置為4 or 1 = 1，這樣這條sql的where條件就恒真了。sql也就等同于下面這樣

select?id,course_id,student_id,status?
from?course?

請(qǐng)求結(jié)果如下，我們拿到了這張表的所有數(shù)據(jù)

3. 查詢mysql版本號(hào)，使用union拼接sql

union?select?1,1,version(),1

4. 查詢數(shù)據(jù)庫(kù)名

union?select?1,1,database(),1

5. 查詢mysql當(dāng)前用戶的所有庫(kù)

union?select?1,1,?(SELECT?GROUP_CONCAT(schema_name)?FROM?information_schema.schemata)?schemaName,1

看完上面這些演示后，你害怕了嗎？你所有的數(shù)據(jù)配置都完全暴露出來(lái)了，除此之外，還可以完成很多操作，更新數(shù)據(jù)、刪庫(kù)、刪表等等。

三、如何防止sql注入

1. 代碼層防止sql注入攻擊的最佳方案就是sql預(yù)編譯

public?List?orderList(String?studentId){
????String?sql?=?"select?id,course_id,student_id,status?from?course?where?student_id?=??";
????return?jdbcTemplate.query(sql,new?Object[]{studentId},new?BeanPropertyRowMapper(Course.class));
}

這樣我們傳進(jìn)來(lái)的參數(shù) 4 or 1 = 1就會(huì)被當(dāng)作是一個(gè)student_id，所以就不會(huì)出現(xiàn)sql注入了。

2. 確認(rèn)每種數(shù)據(jù)的類型，比如是數(shù)字，數(shù)據(jù)庫(kù)則必須使用int類型來(lái)存儲(chǔ)

3. 規(guī)定數(shù)據(jù)長(zhǎng)度，能在一定程度上防止sql注入

4. 嚴(yán)格限制數(shù)據(jù)庫(kù)權(quán)限，能最大程度減少sql注入的危害

5. 避免直接響應(yīng)一些sql異常信息，sql發(fā)生異常后，自定義異常進(jìn)行響應(yīng)

6. 過(guò)濾參數(shù)中含有的一些數(shù)據(jù)庫(kù)關(guān)鍵詞

@Component
public?class?SqlInjectionFilter?implements?Filter?{
????@Override
????public?void?doFilter(ServletRequest?servletRequest,?ServletResponse?servletResponse,?FilterChain?chain)?throws?IOException,?ServletException?{
????????HttpServletRequest?req=(HttpServletRequest)servletRequest;
????????HttpServletRequest?res=(HttpServletRequest)servletResponse;
????????//獲得所有請(qǐng)求參數(shù)名
????????Enumeration?params?=?req.getParameterNames();
????????String?sql?=?"";
????????while?(params.hasMoreElements())?{
????????????//?得到參數(shù)名
????????????String?name?=?params.nextElement().toString();
????????????//?得到參數(shù)對(duì)應(yīng)值
????????????String[]?value?=?req.getParameterValues(name);
????????????for?(int?i?=?0;?i?????????????????sql?=?sql?+?value[i];
????????????}
????????}
????????if?(sqlValidate(sql))?{
????????????throw?new?IOException("您發(fā)送請(qǐng)求中的參數(shù)中含有非法字符");
????????}?else?{
????????????chain.doFilter(servletRequest,servletResponse);
????????}
????}

????/**
?????*?關(guān)鍵詞校驗(yàn)
?????*?@param?str
?????*?@return
?????*/
????protected?static?boolean?sqlValidate(String?str)?{
????????//?統(tǒng)一轉(zhuǎn)為小寫(xiě)
????????str?=?str.toLowerCase();
????????//?過(guò)濾掉的sql關(guān)鍵字，可以手動(dòng)添加
????????String?badStr?=?"'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|"?+
????????????????"char|declare|sitename|net?user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|"?+
????????????????"table|from|grant|use|group_concat|column_name|"?+
????????????????"information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|"?+
????????????????"chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";
????????String[]?badStrs?=?badStr.split("\\|");
????????for?(int?i?=?0;?i?????????????if?(str.indexOf(badStrs[i])?>=?0)?{
????????????????return?true;
????????????}
????????}
????????return?false;
????}
}

特別推薦一個(gè)分享架構(gòu)+算法的優(yōu)質(zhì)內(nèi)容，還沒(méi)關(guān)注的小伙伴，可以長(zhǎng)按關(guān)注一下：

讓你徹底明白sql注入攻擊

長(zhǎng)按訂閱更多精彩▼
如有收獲，點(diǎn)個(gè)在看，誠(chéng)摯感謝

免責(zé)聲明：本文內(nèi)容由21ic獲得授權(quán)后發(fā)布，版權(quán)歸原作者所有，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。文章僅代表作者個(gè)人觀點(diǎn)，不代表本平臺(tái)立場(chǎng)，如有問(wèn)題，請(qǐng)聯(lián)系我們，謝謝！

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系本站刪除（郵箱：macysun@21ic.com ）。

換一批

Cyble榮膺2026年全球信息安全獎(jiǎng)與網(wǎng)絡(luò)安全卓越獎(jiǎng)雙項(xiàng)行業(yè)殊榮

加利福尼亞州庫(kù)比蒂諾2026年3月27日 /美通社/ -- 全球領(lǐng)先的AI驅(qū)動(dòng)型網(wǎng)絡(luò)安全解決方案提供商Cyble宣布，在兩項(xiàng)業(yè)內(nèi)最具聲望的獎(jiǎng)項(xiàng)評(píng)選中榮獲重要表彰。該公司榮獲...

關(guān)鍵字：信息安全網(wǎng)絡(luò)安全 BLE AI

[美通社全球TMT]

TüV萊茵攜手上合示范區(qū)舉辦2026企業(yè)出海大會(huì) 共筑出海新通道

青島2026年1月16日 /美通社/ -- 1月15日，在山東省商務(wù)廳、山東省市場(chǎng)監(jiān)督管理局的支持下，由中國(guó)-上海合作組織地方經(jīng)貿(mào)合作示范區(qū)管理委員會(huì)（簡(jiǎn)稱"上合示...

關(guān)鍵字：信息安全 BSP 電子信息測(cè)試

[美通社全球TMT]

廣汽夸克電驅(qū)獲全球首個(gè)DAkkS ASIL D功能安全與信息安全雙認(rèn)證

廣州2026年1月11日 /美通社/ -- 近日，廣汽集團(tuán)自主研發(fā)的夸克電驅(qū)多合一動(dòng)力域系統(tǒng)成功獲得全球首個(gè)由德國(guó)認(rèn)可機(jī)構(gòu)DAkkS認(rèn)可的深度集成ASIL D（汽車安全完整性最高等級(jí)）功能安全與信息安全雙認(rèn)證。該認(rèn)證由國(guó)...

關(guān)鍵字：信息安全廣汽 ASIL ISO

[美通社全球TMT]

宜鼎獲得IEC 62443-4-1國(guó)際認(rèn)證，全面提升工控信息安全

通過(guò)覆蓋全產(chǎn)品線及全生命周期的安全開(kāi)發(fā)流程，率先響應(yīng)歐盟CRA法規(guī)趨勢(shì)，加速邊緣AI無(wú)縫導(dǎo)入與安全落地深圳2025年12月29日 /美通社/ -- 全球邊緣AI與工業(yè)存儲(chǔ)...

關(guān)鍵字：信息安全工控 AI 網(wǎng)絡(luò)安全

[美通社全球TMT]

眾合云科深度參與網(wǎng)銀 U 盾數(shù)字化管理團(tuán)標(biāo)制定，以技術(shù)實(shí)力引領(lǐng)行業(yè)規(guī)范化

北京2025年12月30日 /美通社/ -- 12月29日，眾合云科信息技術(shù)集團(tuán)有限公司作為核心單位深度參與制定的團(tuán)體標(biāo)準(zhǔn)T/CAMETA001082-2025《網(wǎng)銀U盾數(shù)字化管理方法與技術(shù)規(guī)范》正式實(shí)施。該團(tuán)標(biāo)將為我國(guó)...

關(guān)鍵字：數(shù)字化 SAAS 信息技術(shù) 信息安全

[美通社全球TMT]

SGS通標(biāo)為億緯鋰能頒發(fā)合規(guī)管理及反賄賂管理體系認(rèn)證證書(shū)

惠州2025年12月19日 /美通社/ -- 近日，SGS通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司（以下簡(jiǎn)稱：SGS通標(biāo)）為惠州億緯鋰能股份有限公司（以下簡(jiǎn)稱：億緯鋰能）頒發(fā)GB/T 35770-2022/ISO 37301:2021合...

關(guān)鍵字： ISO GB 鋰電池信息安全

[美通社全球TMT]