【Java代码审计 | 第四篇】SQL注入防范

原创 已于 2025-03-09 09:38:30 修改 · 1.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#java #sql #数据库

于 2025-03-07 15:37:19 首次发布

文章目录

在这里插入图片描述

Java SQL注入防范

类型转换

Java 是强类型语言,因此直接的数值型 SQL 注入较少,但仍需要注意参数类型的安全性。

int id = Integer.valueOf(req.getParameter("id"));

这样可以确保 id 变量是整数,避免输入 1 OR 1=1 之类的 SQL 语句攻击。

预编译查询(PreparedStatement)

预编译(Parameterized Queries)是防止 SQL 注入的最好方法,能够确保用户输入的数据不会被解析为 SQL 代码。

例如:

public User getUserById(String id) throws SQLException {
    Connection connection = JDBCTOOLS.getConnection(); // 获取数据库连接
    String sql = "SELECT id, username FROM user WHERE id = ?";
    PreparedStatement preparedStatement = connection.prepareStatement(sql);
    preparedStatement.setString(1, id);
    ResultSet resultSet = preparedStatement.executeQuery();
    
    if (resultSet.next()) {
        return new User(resultSet.getInt("id"), resultSet.getString("username"));
    }
    return null;
}

使用 ORM 框架(如 MyBatis、Hibernate)

ORM 框架能够自动处理 SQL 预编译,减少 SQL 注入的风险。

例如:

@Mapper
public interface CategoryMapper {
    @Select("SELECT * FROM category_ WHERE name = #{name}")
    Category getByName(String name);
}

白名单限制

某些情况下,用户输入可能用于 ORDER BYINLIKE 等 SQL 语句,预编译无法有效防止注入,这时可使用白名单校验。

ORDER BY 语句
private String checkSort(String sortBy) {
    List<String> columns = Arrays.asList("id", "username", "email");

	// 若传入的字段在允许列表内,则返回原字段;否则返回默认字段 "id"
    return columns.contains(sortBy) ? sortBy : "id";
}

这里通过 checkSort 方法,限定 ORDER BY 只能使用 白名单中的字段(id、username、email),如果 sortBy 不是合法字段,则默认按 id 排序。

String sql = "SELECT * FROM users ORDER BY " + checkSort(sortColumn);
LIKE 语句
String sql = "SELECT * FROM users WHERE username LIKE CONCAT('%', ?, '%')";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, userInput);

这里使用了预编译(PreparedStatement),将 userInput 作为参数传递,而不是直接拼接到 SQL 语句中。

限制数据库权限

数据库用户权限应遵循最小权限原则,避免 root 账户执行 SQL 语句。

CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'XXXX';

1、CREATE USER:在 MySQL 数据库中创建一个新用户。
2、‘app_user’@‘localhost’:用户名是 app_user。
3、@‘localhost’ 指定该用户只能从本机(localhost)连接到数据库,不能从其他 IP 访问。
4、IDENTIFIED BY ‘XXXX’:设置该用户的密码为 ‘XXXX’。

GRANT SELECT, INSERT, UPDATE ON mydb.* TO 'app_user'@'localhost';

1、GRANT:授予数据库权限。
2、SELECT, INSERT, UPDATE:允许 app_user 在数据库 mydb 中执行 查询(SELECT)、插入(INSERT)、更新(UPDATE) 操作。
3、ON mydb.*:作用范围是 mydb 数据库中的所有表(* 代表所有表)。
4、TO ‘app_user’@‘localhost’:只将这些权限授予 本机的 app_user。

过滤和转义特殊字符

可以对用户输入进行严格的字符过滤,但不建议完全依赖此方法。

public static String sanitize(String input) {
    return input.replaceAll("[';--]", "");
}

replaceAll() 会将单引号 (')、分号 (;)、双减号 (–)替换为空字符串 “”,即删除这些字符。

代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 826
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
JAVA如何防御XSS和SQL 注入攻击
p13993233504的博客
04-06 1185
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置防护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
java order by 防止注入的方法
hello world
01-04 2840
注入方法 /** * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序) */ public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"; /** * 检查字符,防止注入绕过 */ public static String escapeOrderBySql(String value) { if (StringUtils.isNotEm
[实践总结] 如何防护order by导致的SQL注入
张紫娃的博客
12-30 2626
example.setOrderByClause("字段名1 ASC/DESC,字段名2 ASC/DESC,...");
Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 4147
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
防止SQL注入的四种方案
dehuisun的专栏
09-05 1万+
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
AI系统安全加固:架构师如何防范SQL注入攻击
AI云原生与云计算技术学院
07-28 1071
在AI驱动业务的时代,一个看似微小的SQL注入漏洞可能导致:用户隐私数据泄露(如医疗AI系统的患者病历)、模型训练数据污染(如推荐系统的用户行为数据被篡改)、甚至系统控制权丢失(如自动驾驶AI的决策数据库被攻击)。本文的核心目的是:帮助架构师从"被动修补漏洞"转向"主动设计安全",掌握AI系统中SQL注入攻击的全链路防御方法。范围覆盖:AI系统的典型架构(数据采集层→预处理层→模型训练/推理层→应用接口层)中可能存在的SQL注入风险点,以及针对这些风险点的架构设计策略、技术防御手段和工程落地实践。
了解Java代码审计中的命令注入漏洞和修复方法
Java代码审计中的命令注入漏洞简介 ## 1.1 什么是命令注入漏洞? 命令注入漏洞指的是攻击者通过在应用程序中执行系统命令的输入中注入恶意命令,从而实现对系统的攻击。这种漏洞常见于需要与外部系统进行交互的...
java代码审计初试——newbee-mall审计
m0_46317063的博客
07-04 1906
java代码审计初试——newbee-mall审计
SQL注入拦截工具-动态order by
zk_tww的博客
10-09 1281
业务场景经常会存在动态order by入参情况,在处理动态order by参数时,需要防止SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者可以通过这种手段操纵查询来执行恶意代码。
若依封装的SqlUtil [防sql注入order by,校验order by语法规则]
snowing1997的博客
07-14 1378
若依封装的SqlUtil [防sql注入order by,校验order by语法规则]
防止通过ORDER BY 进行SQL语句注入
子夜侠客FINN的博客
09-24 4725
[size=large][b]背景:[/b][/size]一般MIS系统的开发中,都会给表格设计一个题头进行排序的功能。具体的实现是将SQL语句中的ORDER BY 字句的两个参数:排序字段、排序方式作为对象的属性,由前台提交到后台。 [size=large][b]问题:[/b][/size]如果对这两个参数(我暂且称为sortName,sortType)没有进行有效的控制,就可能导致脚...
MyBatis 排序防止sql注入
tony_java_2017的博客
11-13 1万+
MyBatis的排序 引言     最近在项目开发中遇到一个问题,项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患,查看安全报告说是有一个接口中存在SQL注入的安全漏洞,检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。 #{}与$ {}的区别     默认情况下,使用#{}格式的语法会导致MyBatis的创建的PreparedStatemen...
MyBatis如何防止SQL注入
bwh0520的博客
04-27 537
原文地址:https://www.cnblogs.com/200911/p/5869097.html SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL injection - WikipediaSQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQ...
Java 中预防 SQL 注入,从零基础到精通,收藏这篇就够了!
韩束一叶子
03-21 1994
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
sql注入之--order by注入
2301_81142776的博客
02-27 2257
目标是把performance_schema的把复杂度降低,让DBA能更好的阅读这个库里的内容。sys_开头是库里的配置表,sys_config用于sys schema库的配置。information_schema是mysql自带的一个数据库,他提供了访问数据库元数据的方式。如数据库名,数据库的表,表栏的数据类型与访问权限等。通过对information_schema库的注入我们可以得到库名,表名,列名等等信息。该视图提供了表的统计信息,包括表名、数据库名等。子句,触发数据库错误,从而获取数据库信息。
WebGoat SQL注入Order by注入解题思路
Abracadabra的专栏
09-18 6104
★ WebGoat 8.0 下载地址: https://github.com/WebGoat/WebGoat/wiki WebGoat 官网及使用方法: https://github.com/WebGoat/WebGoat ★ 运行 WebGoat 执行:java -jar webgoat-server-8.0.0.M21.jar 等出现如下log即运行成功: --- [ ma...
java解决sql注入
最新发布
11-21
<think> 首先,用户的问题是基于之前的引用内容,查找使用Java解决SQL注入问题的方法。用户引用了几个来源:[^1]、[^2]、[^3]、[^4]、[^5],这些引用提供了关于JavaSQL注入的解决方法。 关键点从引用中提取: - 引用[1]:提到使用PreparedStatement的预编译来防范大部分SQL注入攻击。 - 引用[2]:强调了使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限。 - 引用[3]:展示了使用Statement可能导致SQL注入问题的例子。 - 引用[4]:讨论了使用setter方法(如setShort, setString)来设置IN参数值,确保类型兼容。 - 引用[5]:描述了预编译时如何转义输入,防止注入。 用户的需求是“请问Java解决SQL注入的方法”,所以我需要提供清晰、结构化的回答,使用中文,并遵循系统指令。 系统指令回顾: - 行内数学表达式用$...$,但这里可能不涉及数学。 - 独立公式用$$...$$,但SQL注入不涉及公式。 - LaTeX语法正确:确保代码块正确。 - 使用中文回答。 - 生成相关问题:在回答末尾添加相关问题。 - 引用段落末尾添加引用标识:[^1], [^2], 等。 - 回答结构清晰,帮助用户逐步解决问题,保证真实可靠。 回答结构: 1. **引言**:简要解释SQL注入问题和在Java中的重要性。 2. **主要解决方法**:基于引用,重点介绍PreparedStatement。 - 解释为什么PreparedStatement有效。 - 提供Java代码示例。 3. **其他方法**:提到ORM框架、输入验证等。 4. **总结**:强调最佳实践。 5. **相关问题**:添加2-3个相关问题。 代码示例:从引用中,引用[1]和[5]提到了代码,我需要使用代码块展示。 引用标识:在回答中引用时,在相关段落末尾添加[^1], [^2], 等。 相关问题生成: - 基于主题,如优化、其他安全措施等。 - 例如: 1. 如何验证用户输入以防止SQL注入? 2. ORM框架如何帮助防范SQL注入? 3. 在Java中,除了PreparedStatement,还有哪些安全措施? 确保回答真实可靠:基于提供的引用内容,不要添加外部知识。 完整回答框架: - 开头:介绍SQL注入Java解决方法。 - 主体: - 使用PreparedStatement:详细解释和代码。 - 其他方法:输入验证、ORM、最小权限。 - 结尾:总结。 - 相关问题。 代码示例:使用引用[1]的例子或通用例子。 - 引用[1]有代码:SELECT * FROM `user` where user = ... 和PreparedStatement使用。 - 引用[5]有登录示例。 在回答中自然地添加引用。 </think>基于您提供的引用内容,我将详细解释Java中解决SQL注入问题的核心方法。SQL注入是一种常见的安全漏洞,攻击者通过恶意输入篡改SQL查询语句,从而窃取或破坏数据库数据[^2]。在Java中,主要通过**预编译语句**(如PreparedStatement)来防范SQL注入,因为它能自动转义特殊字符并分离SQL逻辑与用户输入[^1][^5]。以下是结构化的解决方法,逐步说明。 ### 主要解决方法:使用PreparedStatement PreparedStatement是Java JDBC API的核心组件,它通过参数化查询(Parameterized Queries)防止SQL注入。工作原理是将SQL语句预编译后绑定用户输入值,而非直接将输入拼接到语句中,从而避免恶意代码执行[^1][^4]。 #### 步骤说明: 1. **定义SQL模板**:使用问号 `?` 作为占位符,代替直接嵌入变量。 2. **创建PreparedStatement对象**:通过`Connection.prepareStatement()`方法。 3. **设置参数值**:使用`setXxx()`方法(如`setString()`、`setInt()`)为占位符赋值,确保输入值类型与SQL类型兼容,并自动转义特殊字符(如单引号被转义为`\'`)[^4][^5]。 4. **执行查询**:调用`executeQuery()`或`executeUpdate()`方法。 #### Java代码示例: 以下是一个安全登录验证的示例,基于引用[1]和[5]的案例。假设我们有一个用户表`user`,包含`username`和`password`字段。 ```java import java.sql.*; public class UserAuthentication { public boolean authenticate(String username, String password) throws SQLException { // SQL模板使用占位符? String sql = "SELECT * FROM user WHERE username = ? AND password = ?"; try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db", "user", "pass"); PreparedStatement pstmt = conn.prepareStatement(sql)) { // 设置参数值(自动转义输入) pstmt.setString(1, username); // 第一个占位符对应username pstmt.setString(2, password); // 第二个占位符对应password try (ResultSet rs = pstmt.executeQuery()) { return rs.next(); // 如果查询到记录,返回true } } } } ``` #### 为什么有效? - 当输入如`username = "admin' -- "`时,`setString()`方法会将单引号转义为`\'`,使攻击失效(例如,转换为`username = 'admin\' -- '`),从而阻止了注释符`--`篡改查询[^5]。 - 对比不安全的`Statement`方式(如引用[3]所示),直接拼接字符串(`"SELECT * FROM user WHERE username='" + username + "'"`)会导致注入漏洞[^3]。 ### 其他辅助方法 除了PreparedStatement,结合以下措施可增强安全性: - **输入验证与过滤**:在业务层对用户输入进行校验(如使用正则表达式检查用户名是否仅含字母数字),拒绝非法字符[^2]。 - **使用ORM框架**:如Hibernate或MyBatis,它们自动生成参数化查询,减少手动SQL编写错误[^2]。 - **最小化数据库权限**:应用数据库账户仅授予必要的操作权限(如只读或特定表的访问),限制攻击影响[^2]。 - **错误处理**:避免在错误消息中暴露数据库结构(如表名),防止信息泄露。 ### 总结 在Java中,解决SQL注入最可靠的方法是采用PreparedStatement进行参数化查询,它能有效隔离用户输入和SQL逻辑[^1][^4]。结合输入验证和ORM框架,可构建更健壮的安全防线[^2]。实际开发中,应始终避免使用`Statement`类执行动态SQL,并定期进行安全审计。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值