SQL注入和解决方法

奇犽

1、SQL注入说明

应用为了和数据库进行沟通完成必要的管理和存储工作，必须和数据库保留一种接口。目前的数据库一般都是提供api以支持管理，应用使用底层开发语言如Php，Java，asp，Python与这些api进行通讯。对于数据库的操作，目前普遍使用一种SQL语言（Structured Query Language语言，SQL语言的功能包括查询、操纵、定义和控制，是一个综合的、通用的关系数据库语言，同时又是一种高度非过程化的语言，只要求用户指出做什么而不需要指出怎么做），SQL作为字符串通过API传入给数据库，数据库将查询的结果返回，数据库自身是无法分辨传入的SQL是合法的还是不合法的，它完全信任传入的数据，如果传入的SQL语句被恶意用户控制或者篡改，将导致数据库以当前调用者的身份执行预期之外的命令并且返回结果，导致安全问题。

2、SQL注入影响

恶意用户利用SQL注入可以做到：

1、可读取数据库中的库和表

2、可执行系统命令

3、可以修改任意文件

           4、可以安装木马后门

3、SQL注入示例

以下分别是JAVA和PHP的有SQL注入漏洞的代码示例：

Java(jdbc)示例：

1. HttpServletRequest request, HttpServletResponse response) {
   
2. JdbcConnection conn = new JdbcConnection();
   
3. final String sql = "select * from product where pname like '%"
   
4.                    + request.getParameter("name") + "%'";
   
5. conn.execqueryResultSet(sql);
   

复制代码

Java(ibatis)示例

1. <select id="unsafe" resultMap="myResultMap">
   
2. select * from table where name like '%$value$%'
   
3. </select>
   
4. UnSafeBean b = (UnSafeBean)sqlMap.queryForObject("value", request.getParameter("name"));
   

复制代码

PHP示例：

1. $sql = "select * from product where pname like '%"
   
2.                    .$_REQUEST["name"] . "%'";
   
3. mysqli_query($link,$sql);

复制代码

当调用以上代码做数据库查询时，name被拼接到SQL查询语句中，便会造成SQL注入漏洞的出现。

用户提交http://localhost:8080/struts1/listProduct.htm?pname=e' and 1=2 union select 1,name,pass,4 from user where ''<>'便会执行对USER表的查询。

根据以上原理，用户可以构造任意SQL语句查询数据库，甚至执行系统命令。

4、SQL注入解决方法

解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。

    1、所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。

    2、对进入数据库的特殊字符（’”\尖括号&*;等）进行转义处理，或编码转换。

    3、严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型。

    4、数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

    5、网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。

    6、严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

    7、避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

    8、在网站发布之前建议使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。

    9、确认PHP配置文件中的magicquotesgpc选项保持开启

JSP防止SQL注入参考代码

1. 正常查询
   
2. conn = createConnection();
   
3. String sql = "select name,password from manager where name=? and password=?";
   
4. stat = conn.prepareStatement(sql);
   
5. stat.setString(1, name);
   
6. stat.setString(2, password);
   
7. stat.executeQuery(sql);
   
8. 模糊查询
   
9. conn = createConnection();
   
10. String sql = "select * from table where url like ?";
    
11. stat = con.prepareStatement(sql);
    
12. String data="data";
    
13. stat.setString(1, "%"+data+"%");
    
14. stat.executeQuery(sql);
    

复制代码