欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

SQL注入的问题

程序员文章站 2022-06-25 08:44:28
首先,SQL语句应该考虑哪些安全性? 第一,防止SQL注入,对特殊字符进行过滤、转义或者使用预编译的SQL语句绑定变量。 第二,当SQL语句运行出错时,不要把数据库返回的错误信息全部显示给用户,以防止泄露服务器和数据库相关信息。 其次,什么叫做SQL注入呢,如何防止呢? 举个例子: 你后台写的Jav ......

首先,sql语句应该考虑哪些安全性?

  第一,防止sql注入,对特殊字符进行过滤、转义或者使用预编译的sql语句绑定变量。

  第二,当sql语句运行出错时,不要把数据库返回的错误信息全部显示给用户,以防止泄露服务器和数据库相关信息。

其次,什么叫做sql注入呢,如何防止呢?

举个例子:

  你后台写的java代码拼的sql如下: 

1 //该ename为前台传过来的一个查询条件
2 public list getinfo(string ename){
3   stringbuffer buf = new stringbuffer();
4   buf.append("select empno,ename,deptno from emp where ename = "").append(ename).append("");
5   ...
6   ...          
7 }

  而前台页面有输入框如下:

  职员姓名:                  

  该文本域对应上面方法的ename参数。

  如果用户在查询时向职员姓名文本域中输入的是如下信息:

  'or'1'='1

  那么这时就会涉及到sql注入这个概念了。

上面的字符串传到后台后,与其他select等字符串拼成了如下的语句:

  select empno,ename,deptno from emp where ename=" or '1'='1'

上面的where条件是永远成立的,如果你的表中有权限限制,比如只能查询本地市的信息,过滤条件中有地市过滤,不过因为输入'or'1'='1字符串后,条件永远成立,导致你能看到所有城市的职员信息,那就会产生权限问题了,用户能看到不该看到的信息。同理,如果是insert或者update等语句的话,通过sql诸如会产生不可估量的问题。

 

这种不安全的情况是在sql语句在拼接的情况下发生。

解决方法:

1、参数绑定。为了防范这样“sql注入安全”可以用预编译(不要用拼接sql字符串,可以用preparestatement,参数用set方法进行填装)。

 1 string sql="insert into userlogin values(?,?)";
 2 try{
 3   preparestatement ps = conn.preparestatement(sql);
 4     for(int i=1;i<100;i++){
 5         ps.setint(1,i);
 6         ps.setint(2,8888);
 7         ps.executeupdate();
 8     } 
 9     ps.close();
10     conn.close();      
11 }catch(sqlexception e){
12     e.printstacktrace();
13 }

 2、检查变量的数据类型和格式

  如果你的sql语句市类似where id={$id}这种形式,数据库里所有的id都是数字,那么就应该在sql被执行前,检查确保变量id是int类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在sql语句执行前,应该严格固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免sql注入攻击。

  比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的命名规则,比如5-20个字符,只能由大小写字母、数据以及一些安全的符号组成,不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许客户提交任意字符串的场景,这就需要采用过滤等其他方案了。(使用正则表达式进行格式验证!)

3、所有的sql语句都封装在存储过程中

  所有的sql语句都封装在存储过程中,这样不但可以避免sql注入,还能提高一些性能。