- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我的应用程序有很多使用 Statement 编写的 JDBC 查询,因此容易受到 SQL 注入(inject)的攻击。不幸的是,这个应用程序是大约 10 年前开发的,开发人员可能不知道 Prepared statement。
我知道解决这个问题的最好方法是使用 PreparedStatement 但是在整个应用程序中转换它是非常繁琐的。此外,为 SQL 注入(inject)编写任何类型的 Patten 匹配都可能非常棘手,因为 Select、insert、union 等关键字都是英文单词,它们也可能出现在用户键入的文本字段中。
有没有更聪明的方法来避免 SQL 注入(inject)而不使用 Prepared 语句。如果这是一个重复的问题,请给我一个有很好答案的问题的链接。感谢您的帮助。
最佳答案
哈哈。不幸的是,它几乎总是取决于货币和管理决定什么是合适的,但“它非常乏味”通常不被认为是一个有效的工程问题——它只是适当重构代码的借口.
与此同时,该问题要求使用非 PreparedStatement 方法:简而言之,如果您无法将工作卸载到库中(例如准备好的语句),那么唯一的其他方法就是为每个“注入(inject)”项目自己完成。无论哪种方式,都必须执行检查输入的工作。唯一的问题是它在哪里完成,以及程序员的专业知识是什么制作了输入验证代码。
例如,考虑一个简单的 SELECT 语句:
sql = "SELECT * FROM mytable WHERE id = " + untrustedVar;
为了完整起见,我们可以假设注入(inject)示例,其中 untrustedVar
是一个类似 1 OR 1
或 1 的字符串; DROP TABLE mytable;
显然这会导致不需要的行为,相对于返回给调用者的所有行,或者现在丢失的数据库表:
SELECT * FROM mytable WHERE id = 1;
DROP mytable;
在这种情况下,您可以让语言语义至少确保 unstrustedVar
是一个整数,也许在您的函数定义中:
String[] selectRowById ( int untrustedVar ) { ...
或者,如果它是一个字符串,您可以使用如下正则表达式执行此操作:
Pattern valid_id_re = Pattern.compile('^\d{1,10}$'); // ensure id is between 1 and 10 billion
Matcher m = valid_id_re.matcher( unstrustedVar );
if ( ! m.matches() )
return null;
但是,如果您的输入较长且没有任何语法或结构保证(例如,网络表单文本区域),那么您将需要进行较低级别的字符替换以转义潜在的错误字符。根据声明。每个变量。每个数据库风格(PostgreSQL、Oracle、MySQL、SQLite 等)。这......是一 jar 蠕虫。
当然,如果您不使用准备好的语句,并且还没有人完成其他工作来避免对您的应用程序进行 SQL 注入(inject)攻击,那么您别无选择,只能向上走。
与此同时,我敦促,敦促,敦促您重新考虑您对“我们不能使用准备好的陈述,因为某些原因”的立场。更重要的是,正如戈德·汤普森 (Gord Thompson) 在下面的评论中正确指出的那样,“在任何情况下,这都将是一项相当大的工作量,那么为什么不把它做好并完成它呢?”
写完上面的内容后,我突然想到有些人可能会认为仅仅编写准备好的语句 = 更好的安全性。实际上,它是带有绑定(bind)参数的准备好的语句,可以提高安全性。例如,可以这样写:
String sql = "SELECT * FROM mytable WHERE id = " + untrustedVar;
PreparedStatment pstmt = dbh.prepareStatement( sql );
return pstmt.executeQuery();
此时,您所做的只不过是准备了一个已被注入(inject)恶意代码的语句。相反,请考虑参数的实际绑定(bind):
String sql = "SELECT * FROM mytable WHERE id = ?"; // Raw string; never touched by "tainted" variable
PreparedStatment pstmt = dbh.prepareStatement( sql );
pstmt.setObject(1, p); // Perform the actual binding.
return pstmt.executeQuery();
后一个例子做了两件事。它首先创建一个已知的安全格式,然后将那个 发送到数据库进行准备。然后,DB 返回准备语句的句柄后,我们是否绑定(bind)变量,最后执行语句。
关于jdbc - 在不使用 Prepared 语句的情况下摆脱 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47272504/
创建一个“海盗对话”,可以选择左手或右手。我希望它对“左”和“右”的不同拼写做出积极的回答(正如您将在代码中看到的那样),但是,当我为所有非“右”或“左”的输入添加最终的“else”代码时,它给了我一
With 语句 对一个对象执行一系列的语句。 With object statements End With 参数 object 必需的部分
While...Wend 语句 当指定的条件为 True 时,执行一系列的语句。 While condition  ; Version [stat
所以我正在处理的代码有一个小问题。 while True: r = input("Line: ") n = r.split() if r == " ":
我有一个对象数组: var contacts = [ { "firstName": "Akira", "lastName": "Laine", "number"
int main() { int f=fun(); ... } int fun() { return 1; return 2; } 在上面的程序中,当从main函数中调用一个
我的项目中有很多 if 语句、嵌套 if 语句和 if-else 语句,我正在考虑将它们更改为 switch 语句。其中一些将具有嵌套的 switch 语句。我知道就编译而言,switch 语句通常更
Rem 语句 包含程序中的解释性注释。 Rem comment 或 ' comment comment 参数是需要包含的注释文本。在 Rem 关键字和 comment 之间应有一个空格。
ReDim 语句 在过程级中声明动态数组变量并分配或重新分配存储空间。 ReDim [Preserve] varname(subscripts) [, varname(subscripts)]
Randomize 语句 初始化随机数生成器。 Randomize [number] number 参数可以是任何有效的数值表达式。 说明 Randomize 使用 number 参数初始
Public 语句 定义公有变量并分配存储空间。在 Class 块中定义私有变量。 Public varname[([subscripts])][, varname[([subscripts])
Sub 语句 声明 Sub 过程的名称、参数以及构成其主体的代码。 [Public [Default]| Private] Sub name [( arglist )]
Set 语句 将对象引用赋给一个variable或property,或者将对象引用与事件关联。 Set objectvar = {objectexpression | New classname
我有这个代码块,有时第一个 if 语句先运行,有时第二个 if 语句先运行。我不确定为什么会这样,因为我认为 javascript 是同步的。 for (let i = 0; i < dataObje
这是一个 javascript 代码,我想把它写成这样:如果此人回答是,则回复“那很酷”,如果此人回答否,则回复“我会让你开心”,如果此人回答的问题包含"is"或“否”,请说“仅键入”是或否,没有任何
这是我的任务,我尝试仅使用简短的 if 语句来完成此任务,我得到的唯一错误是使用“(0.5<=ratio<2 )”,除此之外,构造正确吗? Scanner scn = new Scanner(
有没有办法在 select 语句中使用 if 语句? 我不能在这个中使用 Case 语句。实际上我正在使用 iReport 并且我有一个参数。我想要做的是,如果用户没有输入某个参数,它将选择所有实例。
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: If vs. Switch Speed 我将以 C++ 为例,但我要问的问题不是针对特定语言的。我的意思是一
Property Set 语句 在 Class 块中,声明名称、参数和代码,这些构成了将引用设置到对象的 Property 过程的主体。 [Public | Private] Pro
Property Let 语句 在 Class 块中,声明名称、参数和代码等,它们构成了赋值(设置)的 Property 过程的主体。 [Public | Private] Prop
我是一名优秀的程序员,十分优秀!