SQL注入漏洞及绑定变量浅谈
1、一个问题引发的思考
大家在群里讨论了一个问题,奉文帅之命写篇作文,且看:
String user_web = " user_web "
String sql = " update user set user_web= " + user_web + " where userid=2343 " ;
大家看看这条sql有没有问题,会将user_web字段 更新成什么?
问题的结论是:执行后的记录结果跟执行前一样,(执行时的sql语句为
update user set user_web = user_web where userid = 2343 ,
user_web字段值被update为自己原有的值),这与作者的本意想违背却很难被发现有问题。原来的语句漏掉了一对单引号,正确的写法应该是:
String sql = " update user set user_web=' " + user_web + " ' where userid=2343 " ;
用这种写法将变量值传递到sql语句中,意图是达到了,但不是好的方式,理由如下:
1.可读性差。单引号双引号混杂(试想有多个变量的情况,再想下如果稍一不慎在前面的单引号双引号直间多个空格又会怎样?)
2.会造成潜在的性能问题和sql注入漏洞(对测试代码而言,这两点可能要求不高,但养成良好的编码习惯还是很重要的)
下面以非专业人员的角度大致分析下 ‘”+变量+”‘(未采用绑定变量方式)这种方式组织sql为什么会造成潜在的性能问题和sql注入漏洞问题
2、性能问题
Sql代码不采用绑定变量的方式可能会造成性能问题,表现在以下两个方面:
1.导致相同的测试计划被重复执行
sql语句的执行过程分几个步骤:语法检查、分析、执行、返回结果。当一条sql通过语法检查后,会在共享池里寻找是否有跟其相同的语句,如果有则用已有的执行计划执行sql语句,如果没有找到,则生成执行计划,然后才执行sql语句。可见,后者比前者多了额外的步骤,消耗了额外的CPU,并导致sql总体执行时间延长,而这里的关键就是“共享池中是否有相同的sql语句”。
String username = " test_xx " ;
String sql = " SELECT id,nick FROM user WHERE username=' " + username + " ' " ;
以这样的方式传递到数据库中的sql为
SELECT id,nick FROM user WHERE username = ' test_xx '
假定这个语句是第一次执行,会生成执行计划。当变量发生变化时(username=”test_yy”),数据库又接收到这样的语句
SELECT id,nick FROM user WHERE username = ' test_yy '
Oracle不认为以上两条语句是相同的,因此又会生成执行计划,而这两者的执行计划是一样的(做了重复的工作)
2.导致共享池中的sql语句过多,加速SQL老化,造成共享池内部结构频繁维护。
如果一个某段程序未采用绑定变量的方式而又被大量调用,会导致共享池中不同的sql语句增多,而重用性极低,导致共享池内命中率下降。随着sql数量过多,一些语句逐渐老化,最终被清理出共享池。 而维护共享池内部结构要消耗大量的CPU和内存资源。
3、Sql注入漏洞
不采用绑定变量的方式可能会造成sql注入漏洞,本文仅仅通过示例说明为什么会造成sql注入漏洞,不对攻击方式、攻击类型等展开。以一个用户验证为例。
String sql = " SELECT id,nick FROM user WHERE username=' " + username + " 'AND password=' " + password + " ' " ;
以上代码接收从客户端传来的username和password变量,在数据库中查询验证。假设攻击者从客户端传的username为任意值(如test)password变量为
1′ or ‘1′=’1
此时替换变量后的sql变为
SELECT id,nick FROM user WHERE username = ' test ' AND password = ' 1 ' or ' 1 ' = ' 1 '
这样得到的结果就是user表中的所有数据了。
4、使用绑定变量
以上两种问题的解决方式就是使用绑定变量,就是在sql语句里不直接写变量,而是用占位符,在执行时再把占位符替换为具体的变量值。代码片段如下
String sql = " SELECT id,nick FROM user WHERE username=? AND password=? " ;
preparedStatement.setString( 1 ,username);
preparedStatement.setString( 2 ,password);
一些常用Jdbc工具对此进行了良好的封装,使代码更加简洁。比如Spring的SimpleJdbcTemplate
String sql = " SELECT id,nick FROM user WHERE username=? AND password=? " ;
jdbcTemplate.queryForList(sql,username,password);
上面 ?的做占位符的形式被称为顺序占位符,在传参数值时必须注意顺序对应,还有一种是名称占位符。同样以SimpleJdbcTemplate为例说明.
String sql = " SELECT id,nick FROM user WHERE username=:name AND password=:pass " ;
map.put( " pass " ,password);
map.put( " name " ,username);
jdbcTemplate.queryForList(sql,map);
上面的例子中的:name和:pass就是名称占位符,在执行时sql时再绑定变量。
iBatis中有两种占位符,#name# 和$name$两种方式,需要注意的是前者会在执行sql时绑定变量,而后者直接是替换为变量值,所以后者仍然存在sql注入漏洞问题。
5、未尽话题
接口测试要不要检查sql注入漏洞问题?这个问题值得商榷,个人认为通过常规的用例设计检查sql注入漏洞恐怕不太可行(工作量太大效果不一定好),如果要做的话可借助(或自己开发)一些工具,通过扫描静态代码再人工排查的方式进行。另外如果这项工作进行的太细致,恐怕会跟安全测试的工作重叠太多,当然如果在测试过程中发现开发的代码存在sql注入漏洞(这往往跟开发者编码习惯有关)问题,一定不要放过,进行排查还是很有必要的。