Java代码审计-SQL注入

1、JDBC字符串拼接

1.1 JDBC是什么

JDBC的全称是Java Database Connectivity,翻译过来就是java数据库连接，是java程序访问数据库的标准接口

1.2 JDBC连接数据库

• jdbc接口是java库自带的，通过引入 java.sql这个库就可

• 需要jdbc驱动，这个需要自己配置（在idea里面第一次配置的时候会提示缺少驱动，然后让你下载）

• jdbc连接（一种TCP连接）
  jdbc的连接语句
  jdbc:mysql://:/?key1=value1&key2=value2

    //一个java通过jdbc连接数据库的实例
    conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/Demo", "root", "root");
    
    //展开来看
    // JDBC连接的URL, 不同数据库有不同的格式:
    String JDBC_URL = "jdbc:mysql://localhost:3306/test";
    String JDBC_USER = "root";
    String JDBC_PASSWORD = "password";
    // 获取连接:
    Connection conn = DriverManager.getConnection(JDBC_URL, JDBC_USER, JDBC_PASSWORD);
    // TODO: 访问数据库...
    // 关闭连接:
    conn.close();
  
  1
  2
  3
  4
  5
  6
  7
  8
  9
  10
  11
  12
  13
  14

1.3 数据通过jdbc接口与数据库交互

java代码与数据库交互的三个步骤

• 创建一个Statement对象，通过调用createStatement()方法

• Statement对象执行sql语句，这是通过调用executeQuery()方法

• 调用返回结果的next()方法读取每一行的数据,注意通过方法getLong()、getInt、getString()获取列的时候，下标从1开始

    String sql = "select * from user where id ="+req.getParameter("id");
    Statement st = conn.createStatement();
    ResultSet rs = st.executeQuery(sql);
    while (rs.next()){
        out.println("
Result: "+ rs.getObject("name"));
    }
1
2
3
4
5
6
7

1.4 sql注入与预防

1.4.1 sql注入

在执行executeQuery()方法时，如果没有对输入的数据进行提前处理，而是直接拼接到sql语句中，就可能造成sql注入，可以看做executeQuery()就是执行sql语句，而不会进行任何检查

 String sql = "select * from user where id ="+req.getParameter("id");
1
2

1.4.2 预防sql注入

PrepareStatement 会对SQL语句进行预编译,通过?占位符来代替数据的位置,注意先预编译再拼接数据，而不是拼接完数据之后再预编译（这样的预编译不起作用）

Statement 每次执行都会编译一遍

正确的预编译方式
String sql = "select * from user where id = ?";
PreparedStatement pstt = this.conn.prepareStatement(sql);
pstt.setInt(1, Integer.parseInt(req.getParameter("id")));
ResultSet rs = pstt.executeQuery();

//反例
String sql = "select * from user where id =" + req.getParameter("id");
PreparedStatement pst = this.conn.prepareStatement(sql);
ResultSet rs = pst.executeQuery();

1
2
3
4
5
6
7
8
9
10
11
12

预编译防止SQL注入原理：一条sql语句会经历生成语法树，执行计划优化，执行这几个阶段，在预编译的过程中，数据库首先接收到的是带有占位符（?）的语句，解析生成语法树，并且缓存在cache中，然后接受对应的参数信息，从cache中取出语法树，设置参数，再执行优化和执行操作，因为参数传入执行时，语法树的结构已经生成了，执行的语法结构就不会因为参数而改变，因此也就不存在sql注入

2、框架使用不当造成的注入

ORM(Object/Relation Mapping 对象关系映射)，这种模式是为了解决面向对象与关系型数据互相不匹配是现象

Mybatis

# 与 ${}

• # 会进行预编译
• ${} 只是进行字符串的替换

Hibernate

HQL（Hibernate Query Language）是hibernate专门用于查询数据的语句，有别于SQL，HQL 更接近于面向对象的思维方式

3、预编译的限制

3.1 表名作为变量名，使用拼接

select * from `user`
select * from 'user' #错误
1
2

3.2 order by 后面需要使用拼接，预编译加引号会造成语义改变

select * from user order by name

select * from user order by 'name'
1
2
3