专业网站建设中SQL注入漏洞原理及解决方法

专业网站建设中SQL注入漏洞原理及解决方法

SQL 注入产生的原因：程序开发过程中不注意规范书写 sql 语句和对特殊字符进行过滤，导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。

SQL注入漏洞简单原理；

在写JDBC代码执行sql语句的时候可以写statement或者preparedStatement，前者存在的问题就是有sql注入的漏洞.

SQL注入大致意思就是使用statement执行sql语句的时候会将传入的字符串参数作为SQL语句执行，如果在字符串参数中混入了sql关键字，就可能导致一些严重后果。

比如下图是一个简单的登录验证程序，

数据表中存放了用户名和对应的密码，登录检测就是根据用户传入的用户名和密码使用select语句找出username和password都符合用户传入参数的结果，如果没有符合条件的则验证失败，否则成功。

（表中有个叫fu的用户）

可以看到，用户传入的参数后面加了 ' or ' 1= 1这句，

结果导致拼接出来的SQL语句变成了

select * from user where username = 'fu' or '1=1'  and password = '11111111111'.

在这行sql语句中，会先判断'1=1'  and password = '11111111111'为flase（因为密码不是111..），

而前面的username='fu'为true,

二者or的结果为真，所以就能查询到结果，这样就可以绕过密码登录进去。

（也可以在fu后面加--这样可以注释掉and后面的语句）

    package com.imooc.jdbc.demo1;

    import java.sql.Connection;

    import java.sql.ResultSet;

    import java.sql.Statement;

    import com.imooc.jdbc.utils.JDBCUtils;

    /*

    * 登录验证程序验证sql注入漏洞

    */

    public class JDBCDemo2 {

    /*

    * 测试SQL注入

    */

    public static void main(String[] args) {

    boolean flag = JDBCDemo2.login("fu ' or '1=1", "11111111111");

    if (flag) {

    System.out.println("登录成功");

    } else {

    System.out.println("登录失败");

    }

    }

    public static boolean login(String username, String password) {

    Connection conn = null;

    Statement stmt = null;

    ResultSet rs = null;

    boolean flag = false;

    try {

    conn = JDBCUtils.getConnection();

    stmt = conn.createStatement();

    String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";

        rs = stmt.executeQuery(sql);

        if(rs.next()) {

        flag = true;

        } else {

    flag = false;

    }

    } catch (Exception e) {

    // TODO Auto-generated catch block

    e.printStackTrace();

    } finally {

    JDBCUtils.release(rs, stmt, conn);

    }

    return flag;

    }

    }

专业网站设计建设SQL注入防止方法：

1).过滤掉一些常见的数据库关键字：select、insert、update、delete、and等;或者通过系统函数addslashes(需要过滤的内容)来进行过滤；

2).在PHP配置文件中register_global=off;(设置为关闭状态)作用是将注册全局变量关闭掉；

3).sql语句书写的时候尽量不要忽略小引号和单引号；

4).提高数据库命名技巧，对于一些重要字段根据程序特点命名，取不易猜到的；

5).对于常用的方法加以封装，避免直接暴露sql语句；

6).开启安全模式，safe_mode=on;

7).打开magic_quotes_gpc=off,默认是关闭的，它打开后自动把用户提交的sql语句进行转换（加上\转义），这对防止sql注入有很大作用；因此开启magic_quotes_gpc=on

8).控制错误信息：关闭错误提示信息，将错误信息写入系统日志文件；

9).使用mysqli和pdo进行处理；