1.SQL注入的概念…
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。
2.SQL注入产生的原因…
sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。对于java数据库连接JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构。
3.SQL注入原理…
SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化 查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种 SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的 话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联 在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻 击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入 过程的工作方式是提前终止文本字符串,然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候,先用一个分号结束当前的语句。然后再插 入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“—”来终止注入的字符串。执行时,系统会认为此后语句 位注释,故后续的文本将被忽略,不背编译与执行。
4.举例说明
这里我只是使用简单的语句来实现SQL的注入,只是为了让大家简单的看一下注入后的效果…都是一些简单的例子,一般黑客是不可能用我这种太简单方式来实现注入的,一般都是很复杂的东西…由于自己也不打算过深的研究这个东西,所以就上一些简单的例子..
package JDBC_4_SQL_injection;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;
import java.sql.SQLException;
import java.sql.ResultSet;
public class injection_2 {
static final String DB_URL="jdbc:mysql://localhost/java_mysql";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
Connection cn =null;
Statement pt=null;
ResultSet rs=null;
String sql="select id,name,age from test where name=''or 1 or''";//这里的or 1 or表示的是永真式...无论后面有多少语句,都会被忽略掉...
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
pt=cn.createStatement();
rs=pt.executeQuery(sql);
//由于实现了SQL注入,因此我就能够获取,数据库中所有的数据信息,这样数据库里的数据就造成了数据泄露...
while(rs.next())
{
System.out.println(rs.toString());
System.out.println(rs.getObject(2));
}
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
pt.close();
rs.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
}
很简单的实现了注入…这里使用了Statement来保存我们的因为sql语句中把1认为是true,又因为是或的关系,所以将所有的数据查询出来了,这个就是sql注入,因为Statement会把传递进来的参数进行一下转化操作,用引号包含一下,所以会出现这个问题,那么我们该怎么解决呢?有的 同学说我们可以添加一句过滤的代码,将传递的参数取出单引号,这个方法是可行的的,但是这个只能解决那些使用单引号的数据库,可能有的数据库使用的是双引 号包含内容,那就不行了,所以应该想一个全套的方法,那么这里我们就是用一个叫做:PreparedStatement类,这个类是Statement类 的子类..可以防止这种情况的发生…
package JDBC_4_SQL_injection;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.sql.ResultSet;
public class injection_2 {
static final String DB_URL="jdbc:mysql://localhost/java_mysql";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
Connection cn =null;
PreparedStatement pt=null;
ResultSet rs=null;
String sql="select id,name,age from test where name=?";
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
pt=cn.prepareStatement(sql);
pt.setString(1,"'or 1 or'");//在这里进行传递参数...
rs=pt.executeQuery();
while(rs.next())
{
System.out.println(rs.toString());
System.out.println(rs.getObject(2));
}//这里就不会有查询结果了...
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
pt.close();
rs.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
}
正如上文所描述的,SQL 漏洞危害非常的巨大,但我相信国内很多中小站点还普遍存在着这样的漏洞。因此建议:
1、代码要对输入的参数做到充分的过滤,并尽可能得考虑极端情况
2、错误信息尽可能的少,否则无关的人看不懂而有心的人就会提起兴趣
3、不要以管理员的身份运行服务器进程
4、某些情况下,net 命令对于攻击者而言就是“微软牌”的木马
5、严格控制远程登录访问者的来源
6、如果可能的情况下,不是很推荐使用 Windows 作为服务器操作系统
/*另一个注入例子...
*使用几个查询语句...
* */
package JDBC_4_SQL_injection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Connection;
import java.sql.Statement;
import java.sql.*;
public class injection_1 {
static final String DB_URL="jdbc:mysql://localhost:3306/java_mysql?allowMultiQueries=true";//?allowMultiQueries=true这句话的目的是允许使用多个sql语句进行对数据库的操作...
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
String name="clearlove';delete from test;select * from test where name='clearlove";
String sql=createSQL(name);
System.out.println(sql);
Connection cn=null;
Statement st=null;
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
st=cn.createStatement();//实现了注入...这样我们的数据库信息将全部删除掉...
st.execute(sql);
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
st.close();
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
private static String createSQL(String name){
String sql="select id, name, age from test ";
if(name!=null && name.length()!=0){
sql+= "where name='"+name+"'";
}
return sql;
}
}
上述代码完成了注入,直接将数据库里面的数据进行了删除…
/*
* */
package JDBC_4_SQL_injection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.*;
public class injection_1 {
static final String DB_URL="jdbc:mysql://localhost:3306/java_mysql?allowMultiQueries=true";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
String sql="select id,name,age from test where name=?";
Connection cn=null;
PreparedStatement st=null;
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
st=cn.prepareStatement(sql);
st.setString(1, "clearlove';delete from test;select * from test where name='clearlove");
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
st.close();
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
private static String createSQL(String name){
String sql="select id, name, age from test ";
if(name!=null && name.length()!=0){
sql+= "where name='"+name+"'";
}
return sql;
}
}
这里也使用了PreparedStatement来解决了这个问题的发生….
虽然使用PreparedStatement可以避免sql的注入,但是并不意味着我们在任何时候都使用PreparedStatement,有很多时候也必须要使用Statement…这个要具体情况具体分析…
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。
2.SQL注入产生的原因…
sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。对于java数据库连接JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构。
3.SQL注入原理…
SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化 查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种 SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的 话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联 在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻 击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入 过程的工作方式是提前终止文本字符串,然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候,先用一个分号结束当前的语句。然后再插 入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“—”来终止注入的字符串。执行时,系统会认为此后语句 位注释,故后续的文本将被忽略,不背编译与执行。
4.举例说明
这里我只是使用简单的语句来实现SQL的注入,只是为了让大家简单的看一下注入后的效果…都是一些简单的例子,一般黑客是不可能用我这种太简单方式来实现注入的,一般都是很复杂的东西…由于自己也不打算过深的研究这个东西,所以就上一些简单的例子..
package JDBC_4_SQL_injection;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;
import java.sql.SQLException;
import java.sql.ResultSet;
public class injection_2 {
static final String DB_URL="jdbc:mysql://localhost/java_mysql";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
Connection cn =null;
Statement pt=null;
ResultSet rs=null;
String sql="select id,name,age from test where name=''or 1 or''";//这里的or 1 or表示的是永真式...无论后面有多少语句,都会被忽略掉...
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
pt=cn.createStatement();
rs=pt.executeQuery(sql);
//由于实现了SQL注入,因此我就能够获取,数据库中所有的数据信息,这样数据库里的数据就造成了数据泄露...
while(rs.next())
{
System.out.println(rs.toString());
System.out.println(rs.getObject(2));
}
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
pt.close();
rs.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
}
很简单的实现了注入…这里使用了Statement来保存我们的因为sql语句中把1认为是true,又因为是或的关系,所以将所有的数据查询出来了,这个就是sql注入,因为Statement会把传递进来的参数进行一下转化操作,用引号包含一下,所以会出现这个问题,那么我们该怎么解决呢?有的 同学说我们可以添加一句过滤的代码,将传递的参数取出单引号,这个方法是可行的的,但是这个只能解决那些使用单引号的数据库,可能有的数据库使用的是双引 号包含内容,那就不行了,所以应该想一个全套的方法,那么这里我们就是用一个叫做:PreparedStatement类,这个类是Statement类 的子类..可以防止这种情况的发生…
package JDBC_4_SQL_injection;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.sql.ResultSet;
public class injection_2 {
static final String DB_URL="jdbc:mysql://localhost/java_mysql";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
Connection cn =null;
PreparedStatement pt=null;
ResultSet rs=null;
String sql="select id,name,age from test where name=?";
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
pt=cn.prepareStatement(sql);
pt.setString(1,"'or 1 or'");//在这里进行传递参数...
rs=pt.executeQuery();
while(rs.next())
{
System.out.println(rs.toString());
System.out.println(rs.getObject(2));
}//这里就不会有查询结果了...
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
pt.close();
rs.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
}
正如上文所描述的,SQL 漏洞危害非常的巨大,但我相信国内很多中小站点还普遍存在着这样的漏洞。因此建议:
1、代码要对输入的参数做到充分的过滤,并尽可能得考虑极端情况
2、错误信息尽可能的少,否则无关的人看不懂而有心的人就会提起兴趣
3、不要以管理员的身份运行服务器进程
4、某些情况下,net 命令对于攻击者而言就是“微软牌”的木马
5、严格控制远程登录访问者的来源
6、如果可能的情况下,不是很推荐使用 Windows 作为服务器操作系统
/*另一个注入例子...
*使用几个查询语句...
* */
package JDBC_4_SQL_injection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Connection;
import java.sql.Statement;
import java.sql.*;
public class injection_1 {
static final String DB_URL="jdbc:mysql://localhost:3306/java_mysql?allowMultiQueries=true";//?allowMultiQueries=true这句话的目的是允许使用多个sql语句进行对数据库的操作...
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
String name="clearlove';delete from test;select * from test where name='clearlove";
String sql=createSQL(name);
System.out.println(sql);
Connection cn=null;
Statement st=null;
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
st=cn.createStatement();//实现了注入...这样我们的数据库信息将全部删除掉...
st.execute(sql);
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
st.close();
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
private static String createSQL(String name){
String sql="select id, name, age from test ";
if(name!=null && name.length()!=0){
sql+= "where name='"+name+"'";
}
return sql;
}
}
上述代码完成了注入,直接将数据库里面的数据进行了删除…
/*
* */
package JDBC_4_SQL_injection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.*;
public class injection_1 {
static final String DB_URL="jdbc:mysql://localhost:3306/java_mysql?allowMultiQueries=true";
static final String USER="root";
static final String PAS="49681888";
public static void main(String[] args) {
// TODO Auto-generated method stub
String sql="select id,name,age from test where name=?";
Connection cn=null;
PreparedStatement st=null;
try {
Class.forName("com.mysql.jdbc.Driver");
cn=DriverManager.getConnection(DB_URL,USER,PAS);
st=cn.prepareStatement(sql);
st.setString(1, "clearlove';delete from test;select * from test where name='clearlove");
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}finally{
try {
cn.close();
st.close();
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
private static String createSQL(String name){
String sql="select id, name, age from test ";
if(name!=null && name.length()!=0){
sql+= "where name='"+name+"'";
}
return sql;
}
}
这里也使用了PreparedStatement来解决了这个问题的发生….
虽然使用PreparedStatement可以避免sql的注入,但是并不意味着我们在任何时候都使用PreparedStatement,有很多时候也必须要使用Statement…这个要具体情况具体分析…