什么是 SQL 注入攻击?
The following article is from 帅地玩编程 Author 帅地
用户名: ‘or 1 = 1 --
密 码:
用户一旦点击登录,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了。
这是为什么呢?
下面我们分析一下:从理论上说,后台认证程序中可能会有如下的SQL语句:
String sql = “select * from user_table where username=’ “+userName+” ’ and password=’ “+password+” ‘”;
注:可以左右拉动,下同
因此,当输入了上面的用户名和密码,把参数代进去,则上面的SQL语句变成:
SELECT * FROM user_table WHERE username=’’or 1 = 1 –- and password=’’
分析上述SQL语句我们知道,username=‘ or 1=1 这个语句一定会成功;然后后面加两个-,在 sql 中,两个 -这意味着注释,它将后面的语句注释,让他们不起作用。这样,后面的and password=’’语句将不会执行,所以上述语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
应对方法
(1). 参数绑定
使用预编译手段,绑定参数是最好的防SQL注入的方法。目前许多的 ORM 框架及 JDBC 等都实现了 SQL 预编译和参数绑定功能,攻击者的恶意SQL会被当做SQL 的参数而不是 SQL 命令被执行。
在mybatis的mapper文件中,对于传递的参数我们一般是使用 # 和$来获取参数值。
当使用#时,变量是占位符,就是一般我们使用 javajdbc 的 PrepareStatement 时的占位符,所有可以防止 sql 注入;当使用 $时,变量就是直接追加在sql中,一般会有 sql 注入问题。
(2). 使用正则表达式过滤传入的参数,例如把出现双-的过滤掉等等。
- EOF -
看完本文有收获?请转发分享给更多人
关注「ImportNew」,提升Java技能
点赞和在看就是最大的支持❤️