有效防止SQL注入的5种方法总结

sql注入入门

SQL 注入是一类危害极大的攻击形式。虽然危害很大，但是防御却远远没有XSS那么困难。

SQL 注入漏洞存在的原因，就是拼接 SQL 参数。也就是将用于输入的查询参数，直接拼接在 SQL 语句中，导致了SQL 注入漏洞。

演示下经典的SQL注入

我们看到：select id,no from user where id=2;

如果该语句是通过sql字符串拼接得到的，比如： String sql = "select id,no from user where id=" + id;

其中的 id 是一个用户输入的参数，那么，如果用户输入的是 2， 那么上面看到查到了一条数据，如果用户输入的是 2 or 1=1 进行sql注入攻击, 那么看到，上面的语句(select id,no from user where id=2 or 1=1; )将user表中的所有记录都查出来了。 这就是典型的sql注入。

再看一列：

我们看到通过 sql 注入能够直接将表 sqlinject 删除掉！可见其危害！

SQL注入攻击的总体思路

      1、寻找到SQL注入的位置

      2、判断服务器类型和后台数据库类型

      3、针对不通的服务器和数据库特点进行SQL注入攻击

SQL注入攻击实例

比如在一个登录界面，要求输入用户名和密码：

可以这样输入实现免帐号登录：

用户名： ‘or 1 = 1 –

密 码：点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

这是为什么呢? 下面我们分析一下：

从理论上说，后台认证程序中会有如下的SQL语句：

String sql = "select * from user_table where username=' "+userName+" ' and password=' "+password+" '";

当输入了上面的用户名和密码，上面的SQL语句变成：

SELECT * FROM user_table WHERE username=''or 1 = 1 -- and password=''

分析SQL语句：

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功；

然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

这还是比较温柔的，如果是执行

SELECT * FROM user_table WHERE username='' ;DROP DATABASE (DB Name) --' and password=''

….其后果可想而知…

应对方法

下面我针对JSP，说一下应对方法：

1.（简单又有效的方法）PreparedStatement

采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。

使用好处：

     (1).代码的可读性和可维护性.

     (2).PreparedStatement尽最大可能提高性能.

     (3).最重要的一点是极大地提高了安全性.

原理：

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2.使用正则表达式过滤传入的参数

要引入的包：

import java.util.regex.*;

正则表达式：

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判断是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式：

检测SQL meta-characters的正则表达式 ： /(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 ： /((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 ： /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入，UNION查询关键字的正则表达式 ： /((\%27)|(\'))union/ix(\%27)|(\')

检测MS SQL Server SQL注入攻击的正则表达式： /exec(\s|\+)+(s|x)p\w+/ix

等等…..

3.字符串过滤

比较通用的一个方法：

（||之间的参数可以根据自己程序的需要添加）

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

4.jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入：

sql_inj.java代码：

package sql_inj;

import java.net.*;

import java.io.*;

import java.sql.*;

import java.text.*;

import java.lang.String;

public class sql_inj{

public static boolean sql_inj(String str){

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

//这里的东西还可以自己添加

String[] inj_stra=inj_str.split("\\|");

for (int i=0 ; i < inj_stra.length ; i++ ){

if (str.indexOf(inj_stra[i])>=0){

return true;

}

}

return false;

}

}

5.JSP页面判断代码：

使用javascript在客户端进行不安全字符屏蔽

功能介绍：检查是否含有”‘”,”\\”,”/”

参数说明：要检查的字符串

返回值：0：是1：不是

函数名是

function check(a){

return 1;

fibdn = new Array (”‘” ,”\\”,”/”);

i=fibdn.length;

j=a.length;

for (ii=0; ii＜i; ii++)

{ for (jj=0; jj＜j; jj++)

{ temp1=a.charAt(jj);

temp2=fibdn[ii];

if (tem'; p1==temp2)

{ return 0; }

}

}

return 1;

}

总的说来，防范一般的SQL注入只要在代码规范上下点功夫就可以了。

凡涉及到执行的SQL中有变量时，用JDBC（或者其他数据持久层）提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。

# 防止sql注入的方法  # 如何防止sql注入  # 如何避免sql注入  # SQL注入中绕过 单引号 限制继续注入  # 利用SQL注入漏洞登录后台的实现方法  # 利用SQL注入漏洞拖库的方法  # sql注入之手工注入示例详解  # SQL 注入提取数据方法小结  # 正则表达式  # 的是  # 就可以  # 是一个  # 这是  # 还可以  # 也就  # 都能  # 最重要  # 中有  # 又有  # 而不  # 帐号  # 这就  # 数据处理  # 什么呢  # 再看  # 这篇文章  # 在一  # 上说 

相关文章： 如何通过宝塔面板实现本地网站访问？  如何快速生成凡客建站的专业级图册？  国美网站制作流程,国美电器蒸汽鍋怎么用官方网站？  如何通过远程VPS快速搭建个人网站？  制作网站怎么制作,*游戏网站怎么搭建？  视频网站制作教程,怎么样制作优酷网的小视频？  定制建站模板如何实现SEO优化与智能系统配置？18字教程  建站主机与服务器功能差异如何区分？  移民网站制作流程,怎么看加拿大移民官网？  建站之星免费版是否永久可用？  北京制作网站的公司排名,北京三快科技有限公司是做什么？北京三快科技？  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  网站制作和推广的区别,想自己建立一个网站做推广，有什么快捷方法马上做好一个网站？  微网站制作教程,我微信里的网站怎么才能复制到浏览器里？  油猴 教程,油猴搜脚本为什么会网页无法显示？  C++如何使用std::optional？（处理可选值）  专业网站建设制作报价,网页设计制作要考什么证？  网站制作知乎推荐,想做自己的网站用什么工具比较好？  如何生成腾讯云建站专用兑换码？  宝塔面板创建网站无法访问？如何快速排查修复？  实现虚拟支付需哪些建站技术支撑？  建站主机空间推荐 高性价比配置与快速部署方案解析  建站主机服务器选购指南：轻量应用与VPS配置解析  成都响应式网站开发,dw怎么把手机适应页面变成网页？  香港服务器网站推广：SEO优化与外贸独立站搭建策略  建站之星ASP如何实现CMS高效搭建与安全管理？  如何快速完成中国万网建站详细流程？  如何选择高效稳定的ISP建站解决方案？  如何用5美元大硬盘VPS安全高效搭建个人网站？  智能起名网站制作软件有哪些,制作logo的软件？  制作充值网站的软件,做人力招聘为什么要自己交端口钱？  盘锦网站制作公司,盘锦大洼有多少5G网站？  建站主机CVM配置优化、SEO策略与性能提升指南  佛山企业网站制作公司有哪些,沟通100网上服务官网？  如何在Windows 2008云服务器安全搭建网站？  Python文件管理规范_工程实践说明【指导】  企业在线网站设计制作流程,想建设一个属于自己的企业网站，该如何去做？  建站之星CMS五站合一模板配置与SEO优化指南  宝塔新建站点为何无法访问？如何排查？  建站之星备案是否影响网站上线时间？  韩国服务器如何优化跨境访问实现高效连接？  文字头像制作网站推荐软件,醒图能自动配文字吗？  高性价比服务器租赁——企业级配置与24小时运维服务  建站之星北京办公室：智能建站系统与小程序生成方案解析  香港网站服务器数量如何影响SEO优化效果？  儿童网站界面设计图片,中国少年儿童教育网站-怎么去注册？  如何在IIS7上新建站点并设置安全权限？  网站制作外包价格怎么算,招聘网站上写的“外包”是什么意思？  如何零基础开发自助建站系统？完整教程解析  广平建站公司哪家专业可靠？如何选择？