怎么防止sql注入攻击？sql注入防御方法介绍

　　互联网的攻击形式千万种，威胁最大的独一份，就是SQL注入了!由于它的危害之大，它也成为了每一个运维工程师为客户部署业务系统前必做的防御。那么我们应该怎么防止sql注入攻击?这里跟大家讲解一下sql注入防御方法。

怎么防止sql注入攻击

　　1. 采用预编译语句集

　　出纳员在处理信函内容的时候，只处理账户和金额，对转账动作不处理。

　　2. 检查数据类型和格式

　　出纳员在处理信函内容的时候，会去查验小偷添加内容的类型和格式，是否符合规定。

　　a：验证所有输入

　　始终通过测试类型、长度、格式和范围来验证用户输入。实现对恶意输入的预防时，请注意应用程序的体系结构和部署方案。请注意，设计为在安全环境中运行的程序可能会被复制到不安全的环境中。

　　对应用程序接收的数据不做任何有关大小、类型或内容的假设：

　　如果一个用户在需要邮政编码的位置无意中或恶意地输入了一个 10 MB 的 MPEG 文件，应用程序会做出什么反应?如果在文本字段中嵌入了一个 DROP TABLE 语句，应用程序会做出什么反应?

　　b：使用存储过程来验证用户输入。

　　在多层环境中，所有数据都应该在验证之后才允许进入可信区域。未通过验证过程的数据应被拒绝，并向前一层返回一个错误。

　　c：实现多层验证。

　　对无目的的恶意用户采取的预防措施对坚定的攻击者可能无效。更好的做法是在用户界面和所有跨信任边界的后续点上验证输入。

　　例如，在客户端应用程序中验证数据可以防止简单的脚本注入。但是，如果下一层认为其输入已通过验证，则任何可以绕过客户端的恶意用户就可以不受限制地访问系统。

　　3. 过滤特殊字符

　　出纳员在处理信函内容“将500元从123456号账户转到另一个654321账户”的时候，转译出现问题，即报错。

　　只要注入的 SQL 代码语法正确，便无法采用编程方式来检测篡改。因此，必须验证所有用户输入，并仔细检查在您所用的服务器中执行构造 SQL 命令的代码。本主题中的以下各部分说明了编写代码的最佳做法。

　　绝不串联未验证的用户输入。字符串串联是脚本注入的主要输入点。

　　在可能据以构造文件名的字段中，不接受下列字符串：AUX、CLOCK$、COM1 到 COM8、CON、CONFIG$、LPT1 到 LPT8、NUL 以及 PRN。

　　还有，如果可能，拒绝包含以下字符的输入。

　　输入字符 在 Transact-SQL 中的含义

　　; 查询分隔符。

　　' 字符数据字符串分隔符。

　　-- 注释分隔符。

　　/* ... */ 注释分隔符。服务器不对 /* 和 */ 之间的注释进行处理。

　　xp_ 用于目录扩展存储过程的名称的开头，如 xp_cmdshell。

　　测试输入的大小和数据类型，强制执行适当的限制。这有助于防止有意造成的缓冲区溢出。

　　测试字符串变量的内容，只接受所需的值。

　　拒绝包含二进制数据、转义序列和注释字符的输入内容。这有助于防止脚本注入，防止某些缓冲区溢出攻击。

　　使用 XML 文档时，根据数据的架构对输入的所有数据进行验证。绝不直接使用用户输入内容来生成 Transact-SQL 语句。

sql注入防御方法

　　一、SQL注入简介SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

　　二、SQL注入攻击的总体思路

　　1.寻找到SQL注入的位置

　　2.判断服务器类型和后台数据库类型

　　3.针对不通的服务器和数据库特点进行SQL注入攻击

　　三、SQL注入攻击实例

　　比如在一个登录界面，要求输入用户名和密码：

　　可以这样输入实现免帐号登录：

　　用户名： ‘or 1 = 1 –

　　密 码：

　　点登陆,如若没有做特殊处理,那么这个非法用户就很得意的登陆进去了.(当然现在的有些语言的数据库API已经处理了这些问题)

　　这是为什么呢? 下面我们分析一下：

　　从理论上说，后台认证程序中会有如下的SQL语句：

　　String sql = "select * from user_table where username=

　　' "+userName+" ' and password=' "+password+" '";

　　当输入了上面的用户名和密码，上面的SQL语句变成：

　　SELECT * FROM user_table WHERE username=

　　'’or 1 = 1 -- and password='’

　　分析SQL语句：

　　条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;

　　然后后面加两个-，这意味着注释，它将后面的语句注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

　　这还是比较温柔的，如果是执行

　　SELECT * FROM user_table WHERE

　　username='' ;DROP DATABASE (DB Name) --' and password=''

　　….其后果可想而知…

　　四、应对方法

　　下面我针对JSP，说一下应对方法：

　　1.(简单又有效的方法)PreparedStatement

　　采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。

　　使用好处：

　　(1).代码的可读性和可维护性.

　　(2).PreparedStatement尽最大可能提高性能.

　　(3).最重要的一点是极大地提高了安全性.

　　原理：

　　sql注入只对sql语句的准备(编译)过程有破坏作用

　　而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

　　而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

　　2.使用正则表达式过滤传入的参数

　　要引入的包：

　　import java.util.regex.*;

　　正则表达式：

　　private String CHECKSQL = “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$”;

　　判断是否匹配：

　　Pattern.matches(CHECKSQL,targerStr);

　　下面是具体的正则表达式：

　　检测SQL meta-characters的正则表达式 ：

　　/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix

　　修正检测SQL meta-characters的正则表达式 ：/((\%3D)|(=))[^\n]*((\%27)|(\’)|(\-\-)|(\%3B)|(:))/i

　　典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

　　检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\’))union/ix(\%27)|(\’)

　　检测MS SQL Server SQL注入攻击的正则表达式：

　　/exec(\s|\+)+(s|x)p\w+/ix

　　等等…..

　　3.字符串过滤

　　比较通用的一个方法：

　　(||之间的参数可以根据自己程序的需要添加)

　　public static boolean sql_inj(String str){

　　String inj_str = "'|and|exec|insert|select|delete|update|

　　count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

　　String inj_stra[] = split(inj_str,"|");

　　for (int i=0 ; i < inj_stra.length ; i++ ){

　　if (str.indexOf(inj_stra[i])>=0){

　　return true;

　　}

　　}

　　return false;

　　}

　　4.jsp中调用该函数检查是否包函非法字符

　　防止SQL从URL注入：

　　sql_inj.java代码：

　　package sql_inj;

　　import java.net.*;

　　import java.io.*;

　　import java.sql.*;

　　import java.text.*;

　　import java.lang.String;

　　public class sql_inj{

　　public static boolean sql_inj(String str){

　　String inj_str = "'|and|exec|insert|select|delete|update|

　　count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

　　//这里的东西还可以自己添加

　　String[] inj_stra=inj_str.split("\\|");

　　for (int i=0 ; i < inj_stra.length ; i++ ){

　　if (str.indexOf(inj_stra[i])>=0){

　　return true;

　　}

　　}

　　return false;

　　}

　　}

　　5.JSP页面判断代码：

　　使用javascript在客户端进行不安全字符屏蔽

　　功能介绍：检查是否含有”‘”,”\\”,”/”

　　参数说明：要检查的字符串

　　返回值：0：是1：不是

　　函数名是

　　function check(a){

　　return 1;

　　fibdn = new Array (”‘” ,”\\”,”/”);

　　i=fibdn.length;

　　j=a.length;

　　for (ii=0; ii

　　{ for (jj=0; jj

　　{ temp1=a.charAt(jj);

　　temp2=fibdn[ii];

　　if (tem’; p1==temp2)

　　{ return 0; }

　　}

　　}

　　return 1;

　　}

　　总的说来，防范一般的SQL注入只要在代码规范上下点功夫就可以了。

　　凡涉及到执行的SQL中有变量时，用JDBC(或者其他数据持久层)提供的如：PreparedStatement就可以 ，切记不要用拼接字符串的方法就可以了。

　　关于怎么防止sql注入攻击以及sql注入防御方法就位大家介绍到这里，Sql注入攻击是指创建一个在语法上无效的查询，从而在得出出错消息中呈现关于脚本或数据库的某些信息。只要平时注意代码规范，防范sql注入攻击还是比较容易的。如果您遇到了sql注入攻击而无法解决，可以向安全狗公司咨询技术解决方案，我们会安排专业的技术人员为您解决。