java安全编码指南之:输入注入injection

文章目录

简介

sql注入

java中的sql注入

使用preparedstatement

xml中的sql注入

xml注入的java代码

注入问题是安全中一个非常常见的问题，今天我们来探讨一下java中的sql注入和xml注入的防范。

什么是sql注入呢？

sql注入的意思是，用户输入了某些参数，最终导致sql的执行偏离了程序设计者的本意，从而导致越权或者其他类型的错误。

也就是说因为用户输入的原因，导致sql的涵义发送了变化。

拿我们最常用的登录的sql语句来说，我们可能会写下面的sql语句：

我们需要用户传入username和password。

怎么对这个sql语句进行注入呢？

很简单，当用户的username输入是下面的情况时：

那么整个sql语句将会变成：

如果somebody是一个有效的用户，那么or后面的语言完全不会执行，最终导致不校验密码就返回了用户的信息。

同样的，恶意攻击者可以给password输入下面的内容可以得到同样的结果：

整个sql解析为：

这条语句将会返回所有的用户信息，这样即使不知道确定存在的用户名也可以通过sql语句的判断。

这就是sql注入。

java中最常用的就是通过jdbc来操作数据库，我们使用jdbc创建好连接之后，就可以执行sql语句了。

下面我们看一个java中使用jdbc sql注入的例子。

先创建一个通用的jdbc连接：

然后再自己拼装sql语句然后调用：

上面的例子中，只有username会发生注入，password不会，因为我们使用了encodepassword方法对password进行了转换：

为了防止sql注入，我们一般推荐的是使用preparedstatement，java.sql.preparedstatement可对输入参数进行转义，从而防止sql注入。

注意，一定要正确的使用preparedstatement，如果是不正确的使用，同样会造成sql注入的结果。

下面看一个不正确使用的例子：

上面的代码中，我们还是自己进行了sql的拼装，虽然最后我们使用了preparedstatement，但是没有达到效果。

正确使用的例子如下：

我们需要将用户输入作为参数set到preparedstatement中去，这样才会进行转义。

可扩展标记语言（xml）旨在帮助存储，结构化和传输数据。 由于其平台独立性，灵活性和相对简单性，xml已在许多应用程序中得到使用。 但是，由于xml的多功能性，它容易受到包括xml注入在内的各种攻击的攻击。

那么什么是xml注入呢？我们举个例子：

上面的例子中，我们使用了xml定义了一个iphone20的价格和数量。一个iphone20 5000块。

上面的xml中，如果quantity是用户输入的数据的话，那么用户可以这样输入：

最后得出的xml文件如下：

一般来说，我们在解析xml的过程中，如果发现有重复的tag，那么后面的tag会覆盖前面的tag。

结果就是1个iphone20现在的价格是20块，非常划算。

我们看下xml的注入在java代码中是怎么实现的：

可以看到我们直接使用用户输入的quantity作为xml的拼接，这样做很明显是有问题的。

怎么解决呢？有两种方法。

第一种方法

第一种方法就是对用户输入的quantity进行校验：

上面代码中，我们对quantity进行了integer的转换，从而避免了用户的非法输入。

第二种方法

第二种方法是使用xml schema，来对生成的xml进行格式校验。

先看一下我们改怎么定义这个xml schema：

上面我们定义了一个xml element的序列sequence。如果用户输入了非定义格式的其他xml，就会报错。

我们看下相对应的java代码该怎么写：

上面我们列出了xml验证的代码，完整的代码可以参考文末的代码链接，这里就不一一贴出来了。

本文的代码：

learn-java-base-9-to-20/tree/master/security