防SQL注入研究与平台应用方案
一、解决SQL注入的常见方案
1.1 对SQL参数进行检测与转义
检测的具体内容如下:
1.1.1SQL参数的长度、类型、范围的检测,如参数是否为数值,时间参数是否在一个时间区间之内、字串参数长度是否小于8等,根据具体业务规则定义。
1.1.2SQL参数中特殊字符、SQL关键字的检测,如单引号{‘},分号{;},注释符{--},select,update,insert等。
1.1.3SQL参数16进制的检测,如hex(0xff0033ee..)给数据库可能解释为drop table…的情况,应该检测这种情况并制止。
1.2使用JDBC中的PrepareStatement
如select * from A where name=?
Mybatis对编写方式进行的封装如下:
Select * from A where name=#{name}
Hibernate对编写方式进行的封装如下:
Select * from A where name=:name
但底层都是用PrepareStatement实现的。
二、防SQL注入在平台中的应用
2.1 网上有一种通过filter过滤器的简单方案,在过滤器的doFilter方法中得到request对象的每一个parameter,检测parameter是否有SQL注入的可能,有则禁止访问。但有些业务程序必须要支持输入特殊字符、select等,因此这种方案在平台不合适。
2.2 平台中一般业务程序的保存、更新、删除、查询等操作是封装在Table.java中的,可以将这部分SQL的拼接尝试修改为PrepareStatement方式
2.3 平台中对参数的检测可以分为前台检测与后台检测,前台检测可以写在前台代理ServiceAgent中,后台检测可以写在ModifyBusiness.java文件中,前台检测可以减少后台服务器的压力,后台检测可以减少数据库服务器的压力。
要实现这些检测,可能需要在xml的Field定义中添加如defendSQL=”true”之类的属性,因为有些业务程序必须要支持特殊字符。
2.4 关于地址栏直接加参数与Ajax请求Tools.getResult(),需要开发人员自行检测与使用PrepareStatement。