1、普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)格的區(qū)分。

如果一個(gè)普通用戶在使用查詢語句中嵌入另一個(gè)Drop Table語句，那么是否允許執(zhí)行呢?由于Drop語句關(guān)系到數(shù)據(jù)庫的基本對象，故要操作這個(gè)語句用戶必須有相關(guān)的權(quán)限。在權(quán)限設(shè)計(jì)中，對于終端用戶，即應(yīng)用軟件的使用者，沒有必要給他們數(shù)據(jù)庫對象的建立、刪除等權(quán)限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼，由于其用戶權(quán)限的限制，這些代碼也將無法被執(zhí)行。故應(yīng)用程序在設(shè)計(jì)的時(shí)候，最好把系統(tǒng)管理員的用戶與普通用戶區(qū)分開來。如此可以最大限度的減少注入式攻擊對數(shù)據(jù)庫帶來的危害。

2、 強(qiáng)迫使用參數(shù)化語句。

如果在編寫SQL語句的時(shí)候，用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數(shù)來傳遞這個(gè)變量的話，那么就可以有效的防治SQL注入式攻擊。也就是說，用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反，用戶的輸入的內(nèi)容必須進(jìn)行過濾，或者使用參數(shù)化的語句來傳遞用戶輸入的變量。參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施，可以杜絕大部分的SQL注入式攻擊。不過可惜的是，現(xiàn)在支持參數(shù)化語句的數(shù)據(jù)庫引擎并不多。不過數(shù)據(jù)庫工程師在開發(fā)產(chǎn)品的時(shí)候要盡量采用參數(shù)化語句。

3、加強(qiáng)對用戶輸入的驗(yàn)證。

總體來說，防治SQL注入式攻擊可以采用兩種方法，一是加強(qiáng)對用戶輸入內(nèi)容的檢查與驗(yàn)證;二是強(qiáng)迫使用參數(shù)化語句來傳遞用戶輸入的內(nèi)容。在SQLServer數(shù)據(jù)庫中，有比較多的用戶輸入內(nèi)容驗(yàn)證工具，可以幫助管理員來對付SQL注入式攻擊。測試字符串變量的內(nèi)容，只接受所需的值。拒絕包含二進(jìn)制數(shù)據(jù)、轉(zhuǎn)義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入，防止某些緩沖區(qū)溢出攻擊。測試用戶輸入內(nèi)容的大小和數(shù)據(jù)類型，強(qiáng)制執(zhí)行適當(dāng)?shù)南拗婆c轉(zhuǎn)換。這即有助于防止有意造成的緩沖區(qū)溢出，對于防治注入式攻擊有比較明顯的效果。

4、 多多使用SQL Server數(shù)據(jù)庫自帶的安全參數(shù)。

為了減少注入式攻擊對于SQL Server數(shù)據(jù)庫的不良影響，在SQLServer數(shù)據(jù)庫專門設(shè)計(jì)了相對安全的SQL參數(shù)。在數(shù)據(jù)庫設(shè)計(jì)過程中，工程師要盡量采用這些參數(shù)來杜絕惡意的SQL注入式攻擊。

5、 多層環(huán)境如何防治SQL注入式攻擊?

在多層應(yīng)用環(huán)境中，用戶輸入的所有數(shù)據(jù)都應(yīng)該在驗(yàn)證之后才能被允許進(jìn)入到可信區(qū)域。未通過驗(yàn)證過程的數(shù)據(jù)應(yīng)被數(shù)據(jù)庫拒絕，并向上一層返回一個(gè)錯(cuò)誤信息。實(shí)現(xiàn)多層驗(yàn)證。對無目的的惡意用戶采取的預(yù)防措施，對堅(jiān)定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的后續(xù)點(diǎn)上驗(yàn)證輸入。如在客戶端應(yīng)用程序中驗(yàn)證數(shù)據(jù)可以防止簡單的腳本注入。但是，如果下一層認(rèn)為其輸入已通過驗(yàn)證，則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統(tǒng)。故對于多層應(yīng)用環(huán)境，在防止注入式攻擊的時(shí)候，需要各層一起努力，在客戶端與數(shù)據(jù)庫端都要采用相應(yīng)的措施來防治SQL語句的注入式攻擊。

6、必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點(diǎn)。

使用專業(yè)的漏洞掃描工具，可以幫助管理員來尋找可能被SQL注入式攻擊的點(diǎn)。不過漏洞掃描工具只能發(fā)現(xiàn)攻擊點(diǎn)，而不能夠主動(dòng)起到防御SQL注入攻擊的作用。當(dāng)然這個(gè)工具也經(jīng)常被攻擊者拿來使用。如攻擊者可以利用這個(gè)工具自動(dòng)搜索攻擊目標(biāo)并實(shí)施攻擊。為此在必要的情況下，企業(yè)應(yīng)當(dāng)投資于一些專業(yè)的漏洞掃描工具。一個(gè)完善的漏洞掃描程序不同于網(wǎng)絡(luò)掃描程序，它專門查找數(shù)據(jù)庫中的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。所以憑借專業(yè)的工具，可以幫助管理員發(fā)現(xiàn)SQL注入式漏洞，并提醒管理員采取積極的措施來預(yù)防SQL注入式攻擊。如果攻擊者能夠發(fā)現(xiàn)的SQL注入式漏洞數(shù)據(jù)庫管理員都發(fā)現(xiàn)了并采取了積極的措施堵住漏洞，那么攻擊者也就無從下手了。

上面主要是介紹了在web應(yīng)用程序中對sql注入的大體解決思路，下面我們就根據(jù)java web應(yīng)用程序的特征來具體說明一下如何解決在java web應(yīng)用程序中的sql注入問題。

1.采用預(yù)編譯語句集，它內(nèi)置了處理SQL注入的能力，只要使用它的setXXX方法傳值即可。

使用好處：

(1).代碼的可讀性和可維護(hù)性.

(2).PreparedStatement盡最大可能提高性能.

(3).最重要的一點(diǎn)是極大地提高了安全性.

String sql= "select * from users where username=? and password=?; 
     PreparedStatement preState = conn.prepareStatement(sql); 
     preState.setString(1, userName); 
     preState.setString(2, password); 
     ResultSet rs = preState.executeQuery();  

原理：sql注入只對sql語句的準(zhǔn)備(編譯)過程有破壞作用，而PreparedStatement已經(jīng)準(zhǔn)備好了,執(zhí)行階段只是把輸入串作為數(shù)據(jù)處理,而不再對sql語句進(jìn)行解析,準(zhǔn)備,因此也就避免了sql注入問題.

2.使用正則表達(dá)式過濾傳入的參數(shù)

正則表達(dá)式：

private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

判斷是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具體的正則表達(dá)式：

檢測SQL meta-characters的正則表達(dá)式 ：/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

修正檢測SQL meta-characters的正則表達(dá)式 ：/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻擊的正則表達(dá)式 ：/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

檢測SQL注入，UNION查詢關(guān)鍵字的正則表達(dá)式 ：/((\%27)|(\'))union/ix(\%27)|(\')

檢測MS SQL Server SQL注入攻擊的正則表達(dá)式：/exec(\s|\+)+(s|x)p\w+/ix

等等…..

其實(shí)可以簡單的使用replace方法也可以實(shí)現(xiàn)上訴功能：

 public static String TransactSQLInjection(String str)
     {
        return str.replaceAll(".*([';]+|(--)+).*", " ");
     } 

3.字符串過濾

比較通用的一個(gè)方法：（||之間的參數(shù)可以根據(jù)自己程序的需要添加）

public static boolean sql_inj(String str) 
{ 
String inj_str = "'|and|exec|insert|select|delete|update| 
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; 
String inj_stra[] = split(inj_str,"|"); 
for (int i=0 ; i < inj_stralength ; i++ ) 
{ 
if (str.indexOf(inj_stra[i])>=0) 
{ 
return true; 
} 
} 
return false; 
} 

4.jsp中調(diào)用該函數(shù)檢查是否包函非法字符

防止SQL從URL注入：

sql_inj.java代碼：

package sql_inj; 
import java.net.*; 
import java.io.*; 
import java.sql.*; 
import java.text.*; 
import java.lang.String; 
public class sql_inj{ 
public static boolean sql_inj(String str) 
{ 
String inj_str = "'|and|exec|insert|select|delete|update| 
count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,"; 
//這里的東西還可以自己添加 
String[] inj_stra=inj_strsplit("\\|"); 
for (int i=0 ; i < inj_stra.length ; i++ ) 
{ 
if (str.indexOf(inj_stra[i])>=0) 
{ 
return true; 
} 
} 
return false; 
} 
} 

 5.JSP頁面添加客戶端判斷代碼：

使用JavaScript在客戶端進(jìn)行不安全字符屏蔽

功能介紹：檢查是否含有”‘”,”\\”,”/”

參數(shù)說明：要檢查的字符串

返回值：0：是1：不是

函數(shù)名是

function check(a) 
{ 
return 1; 
fibdn = new Array (”‘” ,”\\”,”/”); 
i=fibdn.length; 
j=a.length; 
for (ii=0; ii＜i; ii++) 
{ for (jj=0; jj＜j; jj++) 
{ temp1=a.charAt(jj); 
temp2=fibdn[ii]; 
if (tem'; p1==temp2) 
{ return 0; } 
} 
} 
return 1; 
} 

 關(guān)于安全性，本文可總結(jié)出一下幾點(diǎn)：

1.要對用戶輸入的內(nèi)容保持警惕。

2.只在客戶端進(jìn)行輸入驗(yàn)證等于沒有驗(yàn)證。

3.永遠(yuǎn)不要把服務(wù)器錯(cuò)誤信息暴露給用戶。

最新評論