Java'da bazı anti sql enjeksiyonu yerleştirmeye çalışıyorum ve "replaceAll" dizge işlevi ile çalışmayı çok zor buluyorum. Sonuçta ben mevcut herhangi dönüştürür bir işlev gerekir \için \\herhangi "üzere \", herhangi 'etmek \'ve herhangi \netmek \\nböylece dize MySQL SQL enjeksiyonu tarafından değerlendirilir zaman olduğu engellenecektir.
Üzerinde çalıştığım bazı kodları aradım ve tüm \\\\\\\\\\\işlevler gözlerimi çıldırtıyor. Bunun bir örneği olan olursa çok memnun olurum.
CREATE VIEW myview AS SELECT * FROM mytable WHERE col = ?ana ifade bir DDL ifadesi olduğu için parametreleştirmeyi reddedecektir .
Yanıtlar:
PreparedStatements, SQL enjeksiyonunu imkansız hale getirdiği için en iyi yoldur. Aşağıda, kullanıcının girdisini parametre olarak alan basit bir örnek verilmiştir:
public insertUser(String name, String email) {
Connection conn = null;
PreparedStatement stmt = null;
try {
conn = setupTheDatabaseConnectionSomehow();
stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
stmt.setString(1, name);
stmt.setString(2, email);
stmt.executeUpdate();
}
finally {
try {
if (stmt != null) { stmt.close(); }
}
catch (Exception e) {
// log this error
}
try {
if (conn != null) { conn.close(); }
}
catch (Exception e) {
// log this error
}
}
}
İsim ve e-postada hangi karakterler olursa olsun, bu karakterler doğrudan veri tabanına yerleştirilecektir. INSERT ifadesini hiçbir şekilde etkilemezler.
Farklı veri türleri için farklı küme yöntemleri vardır - hangisini kullanacağınız, veritabanı alanlarınızın ne olduğuna bağlıdır. Örneğin, veritabanında bir INTEGER sütununuz varsa, bir setIntyöntem kullanmalısınız . PreparedStatement belgeleri , verilerin ayarlanması ve alınması için kullanılabilen tüm farklı yöntemleri listeler.
SQL enjeksiyonunu önlemenin tek yolu parametreli SQL kullanmaktır. Geçimini sağlamak için SQL'i hackleyen insanlardan daha akıllı bir filtre oluşturmak mümkün değildir.
Bu nedenle tüm girdiler, güncellemeler ve where cümleleri için parametreleri kullanın. Dinamik SQL, bilgisayar korsanları için açık bir kapıdır ve depolanmış prosedürlerde dinamik SQL içerir. Parametrelendirme, parametrelendirme, parametrelendirme.
Savunma Seçeneği 1'i gerçekten kullanamıyorsanız : Hazırlanmış İfadeler (Parametreli Sorgular) veya Savunma Seçeneği 2: Saklanan Yordamlar , kendi aracınızı oluşturmayın, OWASP Kurumsal Güvenlik API'sini kullanın . Gönderen OWASP ESAPI Google Code üzerinde barındırılan:
Kendi güvenlik kontrollerinizi yazmayın! Her web uygulaması veya web hizmeti için güvenlik kontrolleri geliştirmek söz konusu olduğunda tekerleği yeniden keşfetmek, zamanın boşa harcanmasına ve büyük güvenlik açıklarına yol açar. OWASP Kurumsal Güvenlik API (ESAPI) Araç Takımları, yazılım geliştiricilerin güvenlikle ilgili tasarım ve uygulama kusurlarına karşı korunmalarına yardımcı olur.
Daha fazla ayrıntı için bkz . Java'da SQL Enjeksiyonunu Önleme ve SQL Enjeksiyonu Önleme Hile Sayfası .
Savunma Seçeneği 3: OWASP ESAPI projesini tanıtan Kullanıcı Tarafından Sağlanan Tüm Girişlerden Kaçınma) konusuna özellikle dikkat edin .
(Bu, OP'nin orijinal soru altındaki yorumuna cevaptır; PreparedStatement'ın bu iş için normal ifadeler değil araç olduğuna tamamen katılıyorum.)
Derken \n, sıralamayı demek \+ nya da gerçek satır besleme karakteri? \+ İse n, görev oldukça basittir:
s = s.replaceAll("['\"\\\\]", "\\\\$0");
Girişte bir ters eğik çizgiyi eşleştirmek için, normal ifade dizesine dört tane koyarsınız. Çıktıya bir ters eğik çizgi koymak için, bunların dördünü yeni dizeye koyarsınız. Bu, normal ifadeleri ve değiştirmeleri Java Dize değişmezleri biçiminde oluşturduğunuzu varsayar. Bunları başka bir yolla oluşturursanız (örneğin, bir dosyadan okuyarak), tüm bu çift kaçışları yapmanız gerekmez.
Girişte bir satır besleme karakteriniz varsa ve onu bir çıkış dizisi ile değiştirmek istiyorsanız, bununla girişin üzerinden ikinci bir geçiş yapabilirsiniz:
s = s.replaceAll("\n", "\\\\n");
Ya da belki iki ters eğik çizgi istiyorsunuz (Bu konuda çok net değilim):
s = s.replaceAll("\n", "\\\\\\\\n");
PreparedStatements çoğu durumda başvurmanın yoludur, ancak her durumda değil. Bazen kendinizi bir sorgunun veya bir kısmının daha sonra kullanılmak üzere bir dizge olarak oluşturulması ve saklanması gereken bir durumda bulacaksınız. Check out SQL Enjeksiyon Önleme Hile Sheet üzerinde OWASP Sitesi farklı programlama dillerinde daha ayrıntılı bilgi ve API'ler için.
Bir SQL enjeksiyonuna neden olabilecek metni kaldırmak için normal bir ifadenin kullanılması, SQL ifadesi veritabanına a Statementyerine a yoluyla gönderiliyormuş gibi sesler çıkarıyor PreparedStatement.
İlk etapta bir SQL enjeksiyonunu önlemenin en kolay yollarından biri PreparedStatement, veritabanına gönderilecek bir SQL ifadesi oluşturmak için dize birleştirmelerine dayanmayan, yer tutucular kullanarak bir SQL ifadesine yer tutacak verileri kabul eden a kullanmaktır.
Daha fazla bilgi için Hazırlanan Tabloların Kullanımı gelen Java Tutorials başlamak için iyi bir yer olurdu.
Hazırlanmış İfadeler en iyi çözümdür, ancak bunu gerçekten elle yapmanız gerekiyorsa StringEscapeUtils, Apache Commons-Lang kitaplığındaki sınıfı da kullanabilirsiniz . escapeSql(String)Kullanabileceğiniz bir yöntemi vardır :
import org.apache.commons.lang.StringEscapeUtils;
…
String escapedSQL = StringEscapeUtils.escapeSql(unescapedSQL);
Eski bir sistemle uğraşıyorsanız ya da PreparedStatementçok kısa sürede e- postalara geçmek için çok fazla yeriniz varsa - yani diğer yanıtların önerdiği en iyi uygulamayı kullanmanın önünde bir engel varsa, AntiSQLFilter'ı deneyebilirsiniz .
Aşağıdaki koda ihtiyacınız var. Bir bakışta, bu benim oluşturduğum herhangi bir eski kod gibi görünebilir. Ancak, yaptığım şey http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement için kaynak koduna bakmaktı . java . Daha sonra, setString'in (int parameterIndex, String x) kodundan kaçtığı karakterleri bulmak için dikkatlice baktım ve bunu kendi sınıfıma göre özelleştirdim, böylece ihtiyaç duyduğunuz amaçlar için kullanılabilir. Sonuçta, Oracle'ın kaçtığı karakterlerin listesi buysa, bunu bilmek güvenlik açısından gerçekten rahatlatıcıdır. Belki de Oracle'ın bir sonraki büyük Java sürümü için buna benzer bir yöntem eklemek için bir dürtüye ihtiyacı vardır.
public class SQLInjectionEscaper {
public static String escapeString(String x, boolean escapeDoubleQuotes) {
StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);
int stringLength = x.length();
for (int i = 0; i < stringLength; ++i) {
char c = x.charAt(i);
switch (c) {
case 0: /* Must be escaped for 'mysql' */
sBuilder.append('\\');
sBuilder.append('0');
break;
case '\n': /* Must be escaped for logs */
sBuilder.append('\\');
sBuilder.append('n');
break;
case '\r':
sBuilder.append('\\');
sBuilder.append('r');
break;
case '\\':
sBuilder.append('\\');
sBuilder.append('\\');
break;
case '\'':
sBuilder.append('\\');
sBuilder.append('\'');
break;
case '"': /* Better safe than sorry */
if (escapeDoubleQuotes) {
sBuilder.append('\\');
}
sBuilder.append('"');
break;
case '\032': /* This gives problems on Win32 */
sBuilder.append('\\');
sBuilder.append('Z');
break;
case '\u00a5':
case '\u20a9':
// escape characters interpreted as backslash by mysql
// fall through
default:
sBuilder.append(c);
}
}
return sBuilder.toString();
}
}
mysql-connector-java-xxx, case '\u00a5've case '\u20a9'ifadeleri kaldırılmış görünüyor
org.ostermiller.utils.StringHelper.escapeSQL()ya com.aoindustries.sql.SQLUtility.escapeSQL().
Hazırlanmış durumları her yerde uygulayamayan eski sistem durumunda, sqlmap'i sql enjeksiyonundan korumak için bir çok çözüm araştırdıktan sonra.
Java-security-cross-site-scripting-xss-and-sql-injection konusu ÇÖZÜM OLDU
@Richard'ın çözümünü denedim ama benim durumumda işe yaramadı. filtre kullandım
Bu filtrenin amacı, isteği kendi kodlu bir MyHttpRequestWrapper içine sarmaktır.
org.springframework.web.util.HtmlUtils.htmlEscape (…) yöntemi aracılığıyla HTML kodlarına özel karakterlere (<,>, ',…) sahip HTTP parametreleri. Not: Apache Commons'ta benzer bir sınıf vardır: org.apache.commons.lang.StringEscapeUtils.escapeHtml (…) Apache Commons classe org.apache.commons.lang.StringEscapeUtils aracılığıyla SQL enjeksiyon karakterleri (', ",…). escapeSql (…)
<filter>
<filter-name>RequestWrappingFilter</filter-name>
<filter-class>com.huo.filter.RequestWrappingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>RequestWrappingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
package com.huo.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletReponse;
import javax.servlet.http.HttpServletRequest;
public class RequestWrappingFilter implements Filter{
public void doFilter(ServletRequest req, ServletReponse res, FilterChain chain) throws IOException, ServletException{
chain.doFilter(new MyHttpRequestWrapper(req), res);
}
public void init(FilterConfig config) throws ServletException{
}
public void destroy() throws ServletException{
}
}
package com.huo.filter;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringEscapeUtils;
public class MyHttpRequestWrapper extends HttpServletRequestWrapper{
private Map<String, String[]> escapedParametersValuesMap = new HashMap<String, String[]>();
public MyHttpRequestWrapper(HttpServletRequest req){
super(req);
}
@Override
public String getParameter(String name){
String[] escapedParameterValues = escapedParametersValuesMap.get(name);
String escapedParameterValue = null;
if(escapedParameterValues!=null){
escapedParameterValue = escapedParameterValues[0];
}else{
String parameterValue = super.getParameter(name);
// HTML transformation characters
escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);
// SQL injection characters
escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);
escapedParametersValuesMap.put(name, new String[]{escapedParameterValue});
}//end-else
return escapedParameterValue;
}
@Override
public String[] getParameterValues(String name){
String[] escapedParameterValues = escapedParametersValuesMap.get(name);
if(escapedParameterValues==null){
String[] parametersValues = super.getParameterValues(name);
escapedParameterValue = new String[parametersValues.length];
//
for(int i=0; i<parametersValues.length; i++){
String parameterValue = parametersValues[i];
String escapedParameterValue = parameterValue;
// HTML transformation characters
escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);
// SQL injection characters
escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);
escapedParameterValues[i] = escapedParameterValue;
}//end-for
escapedParametersValuesMap.put(name, escapedParameterValues);
}//end-else
return escapedParameterValues;
}
}
java-security-cross-site-scripting-xss-and-sql-injection topicmi? Eski bir uygulama için bir çözüm bulmaya çalışıyorum.
Gönderen: [Kaynak]
public String MysqlRealScapeString(String str){
String data = null;
if (str != null && str.length() > 0) {
str = str.replace("\\", "\\\\");
str = str.replace("'", "\\'");
str = str.replace("\0", "\\0");
str = str.replace("\n", "\\n");
str = str.replace("\r", "\\r");
str = str.replace("\"", "\\\"");
str = str.replace("\\x1a", "\\Z");
data = str;
}
return data;
}
PL / SQL kullanıyorsanız DBMS_ASSERT
, girdinizi dezenfekte edebilir, böylece SQL enjeksiyonları hakkında endişelenmeden kullanabilirsiniz.
örneğin şu cevaba bakın: https://stackoverflow.com/a/21406499/1726419