sql注入攻擊及在java web應(yīng)用中的防御方法研究

1、<p>　　SQL注入攻擊及在Java Web應(yīng)用中的防御方法研究</p><p>　　【摘要】 互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)安全成為各界關(guān)注的焦點問題。人們把在電子商務(wù)、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)應(yīng)用中產(chǎn)生的大量重要數(shù)據(jù)存儲于數(shù)據(jù)庫中，而這些數(shù)據(jù)庫便成為網(wǎng)絡(luò)黑客的攻擊目標(biāo)。目前，SQL注入攻擊是網(wǎng)絡(luò)中最為猖獗的黑客攻擊行為之一。本文將詳細闡述SQL注入式攻擊的原理，并給出在Java Web應(yīng)用程序中防御SQL注入攻

2、擊的有效方法。 </p><p>　　【關(guān)鍵詞】 SQL注入 網(wǎng)絡(luò)安全 數(shù)據(jù)庫 Java Web 防御 </p><p>　　如今，互聯(lián)網(wǎng)已經(jīng)融入現(xiàn)代社會的方方面面，電子商務(wù)、社交網(wǎng)絡(luò)、在線教育（MOOC）已經(jīng)成為當(dāng)下人們生活不可或缺的組成。人們在使用這些互聯(lián)網(wǎng)應(yīng)用時，會產(chǎn)生大量與自身相關(guān)的數(shù)據(jù)存儲在數(shù)據(jù)庫中。由于這些數(shù)據(jù)的潛在價值（如個人隱私數(shù)據(jù)、網(wǎng)銀賬戶等），使得它們成為網(wǎng)絡(luò)黑客主要的

3、攻擊目標(biāo)之一。目前，最為常見的、破壞性最強的針對互聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)庫系統(tǒng)的攻擊方式是SQL注入攻擊。綜合統(tǒng)計資料來看，SQL注入約占據(jù)互聯(lián)網(wǎng)安全威脅性事件總數(shù)的1/3，且程逐年遞增趨勢；DB Networks的統(tǒng)計表明，2014年SQL注入漏洞數(shù)量較2013年增長104%[1]。因此，本文將探討、研究注入技術(shù)背后的原理、實施方法和分類，來更好的應(yīng)對這類攻擊；同時結(jié)合Java Web開發(fā)技術(shù)，給出在Java Web應(yīng)用程序中防御SQL注入攻擊

4、的有效方法。 </p><p>　　一、SQL注入攻擊的原理 </p><p>　　SQL注入攻擊（SQL Injection Attack， SQLI），是指利用應(yīng)用程序?qū)优c數(shù)據(jù)庫層之間的安全漏洞、通過惡意SQL語句攻擊這些漏洞來非法獲取目標(biāo)數(shù)據(jù)的行為。簡單來說，精心設(shè)計的惡意SQL語句會從應(yīng)用程序前端提交至后臺數(shù)據(jù)庫執(zhí)行，執(zhí)行過程中應(yīng)用程序開發(fā)者編寫的原始SQL語句會被惡意語句篡改，從

5、而暴露攻擊者想要獲取的隱私數(shù)據(jù)。 </p><p>　　圖1描述了一個B/S架構(gòu)應(yīng)用程序遭受SQL注入攻擊的基本流程。假設(shè)該系統(tǒng)關(guān)系型數(shù)據(jù)庫中存儲有某單位全體員工的個人信息，提交URL： </p><p>　　demo.com/liststaff？staff_id=13098 </p><p>　　Web應(yīng)用服務(wù)器將獲取到參數(shù)staff_id=130 </p&

6、gt;<p>　　98，并在數(shù)據(jù)庫中執(zhí)行下列SQL查詢語句： </p><p>　　SELECT name， gender， age， salary， address </p><p>　　FROM t_staff </p><p>　　WHERE staff_id = ‘13098’； </p><p>　　數(shù)據(jù)庫將返回員工I

7、D（staff_id）為13098的員工的詳細個人詳細，如姓名、收入、家庭住址等。如果攻擊者想要竊取全部員工的個人信息，針對上述SQL查詢語句，他可以構(gòu)造這樣一條請求URL： </p><p>　　demo.com/liststaff？staff_id=13098’ or ‘1’=1 </p><p>　　那么在數(shù)據(jù)庫中將執(zhí)行下列查詢語句： </p><p>　　S

8、ELECT name， gender， age， salary， address </p><p>　　FROM t_staff </p><p>　　WHERE staff_id = ‘13098’ or ‘1’ = 1； </p><p>　　由于staff_id=‘13098’ or ‘1’ = 1為永真句，因此該系列語句等效為： </p>&l

9、t;p>　　SELECT name， gender， age， salary， address </p><p>　　至此，攻擊者成功竊取了全部員工的個人信息。 </p><p>　　二、Java Web程序?qū)QL注入攻擊的防御方法 </p><p>　　盡管Java Web技術(shù)在設(shè)計之初就十分重視安全性，Java Web技術(shù)也是目前最安全的開發(fā)技術(shù)之一，但

10、在實際開發(fā)和應(yīng)用中，使用Java Web技術(shù)構(gòu)建的應(yīng)用仍有可能受到SQL注入攻擊的破壞。本文將討論幾種在Java Web應(yīng)用中防御SQL注入攻擊的有效方法。 </p><p>　　2.1 使用正則表達式過濾參數(shù) </p><p>　　從前文論述我們可以看出，SQL注入攻擊的核心在于向數(shù)據(jù)庫服務(wù)器提交含有特殊含義的字符，改變原始SQL語句的語義。因此，使用正則表達式過濾掉用戶提交參數(shù)中的特殊

11、字符（如轉(zhuǎn)義字符），便能大大降低發(fā)生注入攻擊的概率。 </p><p>　　上述代碼中的正則表達式”.*（[‘；]+|（--）+）.*”可以檢測出用戶提交參數(shù)中的特殊字符（如轉(zhuǎn)義字符單引號），將其替換為空格符，防止數(shù)據(jù)庫受到注入攻擊。 </p><p>　　public static String filterSQLInjection（String param） { </p>

12、<p>　　return param.replaceAll（".*（[’；]+|（--）+）.*"， ""）； </p><p><b>　　} </b></p><p>　　String userName = filterSQLInjection（request. getParameter（userName））；

13、</p><p>　　String userPasswd = filterSQLInjection（request. getParameter（userPasswd））； </p><p>　　2.2 使用預(yù)編譯技術(shù)防止SQL注入 </p><p>　　SQL注入攻擊能夠?qū)崿F(xiàn)的基本前提是程序員使用拼接SQL語句的方式編寫數(shù)據(jù)庫操作語句，如： </p>

14、<p>　　String sql = “SELECT * FROM t_admin WHERE user_ name = ” + userName + “ AND password = ” + userPasswd； </p><p>　　ResultSet rs = statement.executeQuery（sql）； </p><p>　　因此，防御SQL注入攻擊的最有效

15、方法是禁止使用拼接的方法編寫SQL語句，轉(zhuǎn)而使用預(yù)編譯技術(shù)進行數(shù)據(jù)庫操縱方面的開發(fā)。 </p><p>　　所謂預(yù)編譯，指的是將格式結(jié)構(gòu)固定的SQL語句編譯后，存儲在數(shù)據(jù)庫緩存中，當(dāng)調(diào)用該語句時，直接執(zhí)行緩存中編譯后的結(jié)果。使用預(yù)編譯機制可以消除注入攻擊的隱患，因為SQL語句已經(jīng)通過編譯，傳入的參數(shù)不會跟其發(fā)生任何匹配關(guān)系。在Java中，通過PreparedStatement類實現(xiàn)了預(yù)編譯相關(guān)功能，使用方法如下：

16、 </p><p>　　String sql= "SELECT * FROM t_admin WHERE user_ name=？ AND password=？"； </p><p>　　PreparedStatement psmt=conn.prepareSattement（sql）； </p><p>　　psmt.setString（1，

17、userName）； </p><p>　　psmt.setString（2， userPasswd）； </p><p>　　ResultSet rs = preState.executeQuery（）； </p><p><b>　　三、結(jié)束語 </b></p><p>　　本文結(jié)合實例，論述了SQL注入攻擊的原理和