Java - สตริงการยกเว้นเพื่อป้องกันการฉีด SQL

ฉันพยายามใส่ anti sql injection ใน java และฉันพบว่ามันยากมากที่จะทำงานกับฟังก์ชั่นสตริง "replaceAll" ในที่สุดฉันต้องฟังก์ชั่นที่จะแปลงใด ๆ ที่มีอยู่\ในการ\\ใด ๆ"เพื่อ\"ใด ๆ'ไป\'และใด ๆ\nไป\\nเพื่อที่ว่าเมื่อสตริงจะถูกประเมินโดยการฉีด MySQL SQL จะถูกปิดกั้น

ฉันได้เพิ่มโค้ดบางส่วนที่ฉันทำงานด้วยและ\\\\\\\\\\\ฟังก์ชั่นทั้งหมดทำให้ตาของฉันแย่ลง หากใครเกิดขึ้นมีตัวอย่างของเรื่องนี้ฉันจะขอบคุณมันมาก

PreparedStatements เป็นวิธีที่จะไปเพราะพวกเขาทำให้การฉีด SQL เป็นไปไม่ได้ ต่อไปนี้เป็นตัวอย่างง่ายๆที่จะให้อินพุตของผู้ใช้เป็นพารามิเตอร์:

public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

ไม่ว่าอักขระจะอยู่ในชื่อและอีเมลอักขระเหล่านั้นจะถูกวางในฐานข้อมูลโดยตรง พวกเขาจะไม่ส่งผลกระทบต่อคำสั่ง INSERT แต่อย่างใด

มีวิธีการตั้งค่าที่แตกต่างกันสำหรับประเภทข้อมูลที่แตกต่างกัน - วิธีใดที่คุณใช้ขึ้นอยู่กับว่าเขตข้อมูลของคุณคืออะไร ตัวอย่างเช่นหากคุณมีคอลัมน์ INTEGER ในฐานข้อมูลคุณควรใช้setIntวิธีการ PreparedStatement เอกสารแสดงวิธีการต่าง ๆ ทั้งหมดสำหรับการตั้งค่าและรับข้อมูล

วิธีเดียวในการป้องกัน SQL injection คือการใช้พารามิเตอร์แบบ SQL มันเป็นไปไม่ได้ที่จะสร้างตัวกรองที่ฉลาดกว่าคนที่แฮ็ค SQL เพื่อหาเลี้ยงชีพ

ดังนั้นใช้พารามิเตอร์สำหรับการป้อนข้อมูลการปรับปรุงและสถานที่ Dynamic SQL เป็นเพียงประตูเปิดสำหรับแฮกเกอร์และนั่นรวมถึง SQL แบบไดนามิกในขั้นตอนการจัดเก็บ Parameterize, parameterize, parameterize

จริงๆถ้าคุณไม่สามารถใช้การป้องกันตัวเลือกที่ 1: เตรียมงบ (Parameterized แบบสอบถาม)หรือการป้องกันตัวเลือกที่ 2: วิธีการเก็บไม่ได้สร้างเครื่องมือของคุณเองใช้OWASP Enterprise Security API จากOWASP ESAPIโฮสต์บน Google Code:

อย่าเขียนตัวควบคุมความปลอดภัยของคุณเอง! การคิดค้นวงล้อใหม่เมื่อพูดถึงการพัฒนาระบบควบคุมความปลอดภัยสำหรับเว็บแอปพลิเคชันหรือบริการเว็บทุกครั้งทำให้เสียเวลาและมีช่องโหว่ด้านความปลอดภัยจำนวนมาก ชุดเครื่องมือ OWASP Enterprise Security API (ESAPI) ช่วยให้นักพัฒนาซอฟต์แวร์สามารถป้องกันข้อบกพร่องด้านการออกแบบและการนำไปใช้งานด้านความปลอดภัย

สำหรับรายละเอียดเพิ่มเติมโปรดดูที่การป้องกันการฉีด SQL ในชวาและSQL Injection ป้องกันโกงแผ่น

ให้ความสนใจเป็นพิเศษกับตัวเลือกการป้องกัน 3:การหลีกเลี่ยงการป้อนข้อมูลที่ผู้ใช้ป้อนทั้งหมดที่แนะนำโครงการOWASP ESAPI )

(นี่คือคำตอบของความคิดเห็นของ OP ภายใต้คำถามเดิมฉันยอมรับอย่างสมบูรณ์ว่า PreparedStatement เป็นเครื่องมือสำหรับงานนี้ไม่ใช่ regexes)

เมื่อคุณพูด\nคุณหมายถึงลำดับ\+ nหรืออักขระตัวดึงบรรทัดจริงหรือไม่ ถ้าเป็น\+ nงานตรงไปตรงมา:

s = s.replaceAll("['\"\\\\]", "\\\\$0");

ในการจับคู่แบ็กสแลชหนึ่งรายการในอินพุตคุณใส่สี่รายการในสตริง regex ในการใส่แบ็กสแลชหนึ่งรายการในเอาต์พุตคุณใส่สี่รายการในสตริงการแทนที่ นี่คือการสมมติว่าคุณกำลังสร้าง regexes และการแทนที่ในรูปแบบของตัวอักษร Java String หากคุณสร้างมันด้วยวิธีอื่น (เช่นโดยการอ่านจากไฟล์) คุณไม่จำเป็นต้องหลบหนีทั้งหมด

หากคุณมีอักขระตัวดึงข้อมูลบรรทัดในอินพุตและคุณต้องการแทนที่ด้วยลำดับ escape คุณสามารถสร้างการส่งผ่านครั้งที่สองผ่านอินพุตนี้:

s = s.replaceAll("\n", "\\\\n");

หรือบางทีคุณต้องการแบ็กสแลชสองอัน (ฉันไม่ชัดเจนเกินไป):

s = s.replaceAll("\n", "\\\\\\\\n");

PreparedStatements เป็นวิธีที่จะไปมากที่สุด แต่ไม่ใช่ทุกกรณี บางครั้งคุณจะพบว่าตัวเองอยู่ในสถานการณ์ที่แบบสอบถามหรือส่วนหนึ่งของมันจะต้องมีการสร้างและจัดเก็บเป็นสตริงสำหรับใช้ในภายหลัง ตรวจสอบเอกสารการป้องกันการฉีด SQLบนเว็บไซต์ OWASPสำหรับรายละเอียดเพิ่มเติมและ API ในภาษาการเขียนโปรแกรมที่แตกต่างกัน

งบเตรียมเป็นทางออกที่ดีที่สุด แต่ถ้าคุณต้องการทำมันด้วยตนเองคุณสามารถใช้StringEscapeUtilsคลาสจากไลบรารี Apache Commons-Lang มันมีescapeSql(String)วิธีการที่คุณสามารถใช้:

import org.apache.commons.lang.StringEscapeUtils; … String escapedSQL = StringEscapeUtils.escapeSql(unescapedSQL);

ใช้การแสดงออกปกติเพื่อลบข้อความที่อาจทำให้เกิดการฉีด SQL เสียงเช่นคำสั่ง SQL จะถูกส่งไปยังฐานข้อมูลผ่านทางStatementมากกว่าPreparedStatementมากกว่า

หนึ่งในวิธีที่ง่ายที่สุดในการป้องกันการฉีด SQL ในตอนแรกคือการใช้ PreparedStatementซึ่งยอมรับข้อมูลเพื่อแทนที่คำสั่ง SQL โดยใช้ตัวยึดตำแหน่งซึ่งไม่พึ่งพาการต่อข้อมูลสตริงเพื่อสร้างคำสั่ง SQL เพื่อส่งไปยังฐานข้อมูล

สำหรับข้อมูลเพิ่มเติมการใช้คำสั่งที่เตรียมไว้จากบทเรียน Javaจะเป็นจุดเริ่มต้นที่ดี

ในกรณีที่คุณกำลังจัดการกับระบบเดิมหรือมีหลายสถานที่ที่จะเปลี่ยนเป็นPreparedStatements ในเวลาน้อยเกินไป - เช่นหากมีอุปสรรคในการใช้แนวปฏิบัติที่ดีที่สุดที่เสนอโดยคำตอบอื่น ๆ คุณสามารถลองAntiSQLFilter

คุณต้องใช้รหัสต่อไปนี้ด้านล่าง อย่างรวดเร็วนี้อาจดูเหมือนรหัสเก่า ๆ ที่ฉันสร้างขึ้น อย่างไรก็ตามสิ่งที่ฉันทำคือดูซอร์สโค้ดสำหรับhttp://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement ชวา หลังจากนั้นฉันตรวจดูรหัสของ setString (int parameterIndex, String x) อย่างระมัดระวังเพื่อค้นหาตัวละครที่มันจะหลบหนีและปรับแต่งมันให้เหมาะกับชั้นเรียนของฉันเองเพื่อที่จะสามารถใช้ตามวัตถุประสงค์ที่คุณต้องการ ท้ายที่สุดถ้านี่คือรายการของตัวละครที่ Oracle หนีออกมาจากนั้นการรู้ว่านี่เป็นสิ่งที่ทำให้เกิดความปลอดภัยอย่างมาก บางทีออราเคิลอาจต้องใช้วิธีเขยิบเพื่อเพิ่มวิธีการที่คล้ายกับวิธีนี้สำหรับการเปิดตัว Java รุ่นใหญ่ครั้งต่อไป

public class SQLInjectionEscaper {

    public static String escapeString(String x, boolean escapeDoubleQuotes) {
        StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);

        int stringLength = x.length();

        for (int i = 0; i < stringLength; ++i) {
            char c = x.charAt(i);

            switch (c) {
            case 0: /* Must be escaped for 'mysql' */
                sBuilder.append('\\');
                sBuilder.append('0');

                break;

            case '\n': /* Must be escaped for logs */
                sBuilder.append('\\');
                sBuilder.append('n');

                break;

            case '\r':
                sBuilder.append('\\');
                sBuilder.append('r');

                break;

            case '\\':
                sBuilder.append('\\');
                sBuilder.append('\\');

                break;

            case '\'':
                sBuilder.append('\\');
                sBuilder.append('\'');

                break;

            case '"': /* Better safe than sorry */
                if (escapeDoubleQuotes) {
                    sBuilder.append('\\');
                }

                sBuilder.append('"');

                break;

            case '\032': /* This gives problems on Win32 */
                sBuilder.append('\\');
                sBuilder.append('Z');

                break;

            case '\u00a5':
            case '\u20a9':
                // escape characters interpreted as backslash by mysql
                // fall through

            default:
                sBuilder.append(c);
            }
        }

        return sBuilder.toString();
    }
}

หลังจากค้นหาการทดสอบจำนวนมากของการแก้ปัญหาเพื่อป้องกัน sqlmap จากการฉีด sql ในกรณีของระบบมรดกที่ไม่สามารถใช้รูปปั้นที่เตรียมไว้ทุกที่

หัวข้อ Java-security-cross-site-scripting-xss-and-sql-injection ทางออก

ฉันลองใช้โซลูชันของ @Richard แต่ไม่ได้ผลในกรณีของฉัน ฉันใช้ตัวกรอง

เป้าหมายของตัวกรองนี้คือห่อหุ้มคำขอลงใน wrapper MyHttpRequestWrapper รหัสของตัวเองซึ่งเปลี่ยน:

พารามิเตอร์ HTTP ที่มีอักขระพิเศษ (<,>, ', …) ลงในรหัส HTML ผ่านวิธีการ org.springframework.web.util.HtmlUtils.htmlEscape (…) หมายเหตุ: มีคลาสที่คล้ายกันใน Apache Commons: org.apache.commons.lang.StringEscapeUtils.escapeHtml (…) อักขระการฉีด SQL (',“, …) ผ่าน Apache Commons classe org.apache.commons.lang.StringEscapeUtils escapeSql ( ... )

<filter>
<filter-name>RequestWrappingFilter</filter-name>
<filter-class>com.huo.filter.RequestWrappingFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>RequestWrappingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>




package com.huo.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletReponse;
import javax.servlet.http.HttpServletRequest;

public class RequestWrappingFilter implements Filter{

    public void doFilter(ServletRequest req, ServletReponse res, FilterChain chain) throws IOException, ServletException{
        chain.doFilter(new MyHttpRequestWrapper(req), res);
    }

    public void init(FilterConfig config) throws ServletException{
    }

    public void destroy() throws ServletException{
    }
}




package com.huo.filter;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class MyHttpRequestWrapper extends HttpServletRequestWrapper{
    private Map<String, String[]> escapedParametersValuesMap = new HashMap<String, String[]>();

    public MyHttpRequestWrapper(HttpServletRequest req){
        super(req);
    }

    @Override
    public String getParameter(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        String escapedParameterValue = null; 
        if(escapedParameterValues!=null){
            escapedParameterValue = escapedParameterValues[0];
        }else{
            String parameterValue = super.getParameter(name);

            // HTML transformation characters
            escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

            // SQL injection characters
            escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

            escapedParametersValuesMap.put(name, new String[]{escapedParameterValue});
        }//end-else

        return escapedParameterValue;
    }

    @Override
    public String[] getParameterValues(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        if(escapedParameterValues==null){
            String[] parametersValues = super.getParameterValues(name);
            escapedParameterValue = new String[parametersValues.length];

            // 
            for(int i=0; i<parametersValues.length; i++){
                String parameterValue = parametersValues[i];
                String escapedParameterValue = parameterValue;

                // HTML transformation characters
                escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

                // SQL injection characters
                escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

                escapedParameterValues[i] = escapedParameterValue;
            }//end-for

            escapedParametersValuesMap.put(name, escapedParameterValues);
        }//end-else

        return escapedParameterValues;
    }
}

จาก: [ที่มา]

public String MysqlRealScapeString(String str){
  String data = null;
  if (str != null && str.length() > 0) {
    str = str.replace("\\", "\\\\");
    str = str.replace("'", "\\'");
    str = str.replace("\0", "\\0");
    str = str.replace("\n", "\\n");
    str = str.replace("\r", "\\r");
    str = str.replace("\"", "\\\"");
    str = str.replace("\\x1a", "\\Z");
    data = str;
  }
return data;

}

หากคุณใช้ PL / SQL คุณสามารถใช้DBMS_ASSERT มันสามารถฆ่าเชื้ออินพุตของคุณเพื่อให้คุณสามารถใช้งานได้โดยไม่ต้องกังวลกับ SQL injections

ดูตัวอย่างคำตอบนี้: https://stackoverflow.com/a/21406499/1726419