前言

sql注入是web開發(fā)中最常見的一種安全漏洞。可以用它來從數(shù)據(jù)庫獲取敏感信息、利用數(shù)據(jù)庫的特性執(zhí)行添加用戶、導(dǎo)出文件等一系列惡意操作，甚至有可能獲取數(shù)據(jù)庫乃至系統(tǒng)用戶最高權(quán)限。

造成sql注入的原因:

程序沒有有效過濾用戶的輸入，使攻擊者成功的向服務(wù)器提交惡意的SQL腳本，程序在接收后錯誤的將攻擊者的輸入作為SQL語句的一部分執(zhí)行，導(dǎo)致原始的查詢邏輯被改變，執(zhí)行了攻擊者精心構(gòu)造的惡意SQL語句。

如從用戶表根據(jù)用戶名admin和密碼123查用戶信息

select * from User where username = 'admin' and password = '123'

攻擊者惡意修改用戶名參數(shù) admin-->xxxx or 1=1 --

select * from user where username = 'xxxx' or 1=1 --and password = '123'

SQL中--是注釋標記，如果上面這個SQL被執(zhí)行，就可以讓攻擊者在不知道任何用戶名和密碼的情況下成功登錄。所以，防止sql注入至關(guān)重要

預(yù)防sql注入方法:

• 嚴格限制Web應(yīng)用的數(shù)據(jù)庫的操作權(quán)限，給連接數(shù)據(jù)庫的用戶提供滿足需要的最低權(quán)限，最大限度的減少注入攻擊對數(shù)據(jù)庫的危害
• 對進入數(shù)據(jù)庫的特殊字符進行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換
• 校驗參數(shù)的數(shù)據(jù)格式是否合法(可以使用正則或特殊字符的判斷)
• 預(yù)編譯SQL (Java中使用PreparedStatement)，參數(shù)化查詢方式，避免SQL拼接
• 使用mybatis的"#{}“預(yù)編譯，將傳入的值按照字符串的形式進行處理
• 發(fā)布前，利用工具進行SQL注入檢測
• 報錯信息不要包含SQL信息輸出到 Web 頁面

java 有效的防止SQL注入

1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙"-"進行轉(zhuǎn)換等。

2.永遠不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。

3.永遠不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。

4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。

5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝。

總結(jié)

到此這篇關(guān)于Java中如何避免sql注入的文章就介紹到這了,更多相關(guān)Java避免sql注入內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論