Java - escape-строка для предотвращения внедрения SQL

146

Я пытаюсь внедрить некоторые анти-SQL инъекции в Java, и мне очень трудно работать со строковой функцией replaceAll. В конечном счете мне нужна функция, которая преобразует любые существующие \в \\, любые "в \", любые 'в \'и любые \nв \\nтак, чтобы при оценке строки с помощью SQL-инъекций MySQL блокировалась.

Я испортил некоторый код, с которым работал, и все \\\\\\\\\\\в функции заставляют мои глаза сходить с ума. Если у кого-то есть пример этого, я был бы очень признателен.

java sql regex escaping sql-injection Скотт Боннер
источник
1
Хорошо, я пришел к выводу, что PreparedStatements - это путь, однако, исходя из текущих целей, мне нужно действовать так, как было запланировано изначально, и просто установить фильтр на некоторое время, и как только текущий этап достигнут, я могу вернуться и реорганизовать базу данных для подготовленного заявления. В то же время, чтобы поддержать импульс, есть ли у кого-нибудь решение, позволяющее эффективно экранировать вышеперечисленные символы для MySQL, учитывая Java, и его система регулярных выражений - абсолютная боль в определении необходимого количества экранирований ...
Скотт Боннер,
2
Не все операторы SQL являются параметризуемыми, например «SET ROLE role_name» или «LISTEN channel_name»
Нил Макгиган
1
@NeilMcGuigan Да. Большинство драйверов также отказываются от параметризации чего-то подобного, CREATE VIEW myview AS SELECT * FROM mytable WHERE col = ?так как основной оператор - это DDL- утверждение, хотя часть, которую вы пытаетесь параметризовать, на самом деле является DML .
SeldomNeedy

Ответы:

249

PreparedStatements - это путь, потому что они делают внедрение SQL невозможным. Вот простой пример, принимающий пользовательский ввод в качестве параметров:

public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

Независимо от того, какие символы есть в имени и электронном письме, эти символы будут помещены непосредственно в базу данных. Они никак не повлияют на оператор INSERT.

Существуют разные методы набора для разных типов данных - какой вы используете, зависит от того, какие поля вашей базы данных. Например, если у вас есть столбец INTEGER в базе данных, вы должны использовать setIntметод. В документации PreparedStatement перечислены все различные методы, доступные для установки и получения данных.

Калеб Бразе
источник
1
С помощью этого метода вы можете рассматривать каждый параметр как строку и при этом быть в безопасности? Я пытаюсь найти способ обновить мою существующую архитектуру, чтобы она была безопасной, без необходимости перестраивать весь слой базы данных ...
Скотт Боннер,
1
Весь dynqmic SQL - это просто строки, так что вопрос не в этом. Я не знаком с PrepareStatement, поэтому реальный вопрос в том, генерирует ли он параметризованный запрос, который затем может быть выполнен с помощью ExecuteUpdate. Если да, это хорошо. Если нет, то это просто скрывает проблему, и у вас может не быть никакой безопасной опции, кроме как переделать слой базы данных. Работа с SQL-инъекцией - это одна из тех вещей, которую вы должны разрабатывать с самого начала; это не то, что вы можете легко добавить позже.
Кот-Сайлон
2
Если вы вставляете в поле INTEGER, вы хотите использовать 'setInt'. Аналогично, другие числовые поля базы данных будут использовать другие сеттеры. Я разместил ссылку на документы PreparedStatement, в которых перечислены все типы сеттеров.
Калеб Браси
2
Да, Сайлон, PreparedStatements генерирует параметризованные запросы.
Калеб Бразе
2
@ Kaleb Brasee, спасибо. Это хорошо знать. Инструменты различны в каждой среде, но основополагающий ответ - переход к параметризованным запросам.
Кот Сайлон
46

Единственный способ предотвратить внедрение SQL - это параметризованный SQL. Просто невозможно создать фильтр, который умнее людей, которые взламывают SQL на жизнь.

Поэтому используйте параметры для всех входных данных, обновлений и предложений where. Динамический SQL является просто открытой дверью для хакеров, и это включает динамический SQL в хранимых процедурах. Параметризация, параметризация, параметризация.

Кот Сайлон
источник
11
И даже параметризованный SQL не является гарантией 100%. Но это очень хорошее начало.
duffymo
2
@ Duffymo, я согласен, что ничто не может быть на 100% безопасным. У вас есть пример внедрения SQL, который будет работать даже с параметризованным SQL?
Кот Сайлон
3
@Cylon Cat: Конечно, когда кусок SQL (например, @WhereClause или @tableName) передается в качестве параметра, объединяется в SQL и выполняется динамически. SQL-инъекция происходит, когда вы позволяете пользователям писать ваш код. Неважно, захватываете ли вы их код в качестве параметра или нет.
Стив Касс
16
Кстати, я не знаю, почему это не упоминается больше, но работа с PreparedStatements также намного проще и намного более читабельна. Одно это, вероятно, делает их по умолчанию для каждого программиста, который знает о них.
Эдан Маор
3
Обратите внимание, что PreparedStatements для некоторых баз данных ОЧЕНЬ дорого создавать, поэтому, если вам нужно их много, измерьте оба типа.
Торбьерн Равн Андерсен
36

Если вы действительно не можете использовать опцию защиты 1: подготовленные операторы (параметризованные запросы) или вариант защиты 2: хранимые процедуры , не создавайте свой собственный инструмент, используйте OWASP Enterprise Security API . Из OWASP ESAPI, размещенного в Google Code:

Не пишите свои собственные меры безопасности! Изобретая колесо, когда речь заходит о разработке мер безопасности для каждого веб-приложения или веб-службы, это приводит к потере времени и огромным дырам в безопасности. Наборы инструментов OWASP Enterprise Security API (ESAPI) помогают разработчикам программного обеспечения защититься от недостатков проектирования и реализации, связанных с безопасностью.

Дополнительные сведения см. В разделах «Предотвращение внедрения SQL в Java» и « Шпаргалка по предотвращению внедрения SQL» .

Обратите особое внимание на вариант защиты 3: экранирование всех вводимых пользователем данных , представляющих проект OWASP ESAPI ).

Паскаль Тивент
источник
4
ESAPI кажется несуществующим на сегодняшний день. На AWS есть WAF, который может помочь против внедрения SQL, XSS и т. Д. Есть ли другие альтернативы на этом этапе?
ChrisOdney
@ChrisOdney WAF можно легко обойти. Большинство Frameworks уже реализуют свои собственные средства предотвращения SQL-инъекций, в которых они автоматически экранируют параметры. Альтернативы для устаревших проектов: owasp.org/index.php/…
Джаван Р.
19

(Это ответ на комментарий ОП под первоначальным вопросом; я полностью согласен с тем, что PreparedStatement является инструментом для этой работы, а не регулярными выражениями.)

Когда вы говорите \n, вы имеете в виду последовательность \+ nили фактический символ перевода строки? Если это \+ n, задача довольно проста:

s = s.replaceAll("['\"\\\\]", "\\\\$0");

Чтобы сопоставить одну обратную косую черту во вводе, вы помещаете четыре из них в строку регулярного выражения. Чтобы поместить один обратный слеш в вывод, вы помещаете четыре из них в строку замены. Это предполагает, что вы создаете регулярные выражения и замены в форме литералов Java String. Если вы создаете их любым другим способом (например, читая их из файла), вам не нужно делать все это двойным экранированием.

Если у вас есть символ перевода строки на входе, и вы хотите заменить его на escape-последовательность, вы можете сделать второй проход по вводу с помощью этого:

s = s.replaceAll("\n", "\\\\n");

Или, может быть, вы хотите две обратные косые черты (я не слишком ясно):

s = s.replaceAll("\n", "\\\\\\\\n");
Алан Мур
источник
1
Спасибо за комментарий, мне нравится, как вы сделали все символы в одном, я собирался использовать способ с регулярным выражением замены всех для каждого ... Я не уверен, как назначить ответ на этот вопрос сейчас , В конечном счете, PreparedStatements - это ответ, но для моей текущей цели ваш ответ - это тот ответ, который мне нужен, вы были бы расстроены, если бы я дал ответ на один из ранее подготовленных ответов, или есть способ поделиться ответом между парой?
Скотт Боннер
1
Так как это всего лишь временное препятствие, продолжайте и примите один из ответов PreparedStatement.
Алан Мур
12

PreparedStatements - это путь в большинстве, но не во всех случаях. Иногда вы окажетесь в ситуации, когда запрос или его часть должны быть построены и сохранены в виде строки для последующего использования. Ознакомьтесь с инструкциями по предотвращению инъекций SQL на сайте OWASP для получения более подробной информации и API на разных языках программирования.


источник
1
Шпаргалки OWASP были перенесены на GitHub.
theferrit32
10

Подготовленные операторы являются лучшим решением, но если вам действительно нужно сделать это вручную, вы также можете использовать StringEscapeUtilsкласс из библиотеки Apache Commons-Lang. У него есть escapeSql(String)метод, который вы можете использовать:

import org.apache.commons.lang.StringEscapeUtils; … String escapedSQL = StringEscapeUtils.escapeSql(unescapedSQL);

ToBe_HH
источник
2
Для справки: commons.apache.org/proper/commons-lang/javadocs/api-2.6/org/… Во всяком случае, этот метод экранирует только кавычки и, по-видимому, не предотвращает атаки SQL-инъекций.
Пако Абато
11
Это было удалено из последних версий, потому что это было только избежать одиночных кавычек
Пини Чейни
2
Этот ответ должен быть удален, потому что он не препятствует внедрению SQL.
Джаван Р.
9

Использование регулярного выражения для удаления текста, который может вызвать внедрение SQL, звучит так, как будто оператор SQL отправляется в базу данных через, Statementа не через PreparedStatement.

Одним из самых простых способов предотвратить внедрение SQL в первую очередь является использование a PreparedStatement, который принимает данные для замены в оператор SQL с использованием заполнителей, который не использует конкатенации строк для создания оператора SQL для отправки в базу данных.

Для получения дополнительной информации было бы неплохо начать с использования подготовленных операторов из учебников по Java .

coobird
источник
6

Если вы имеете дело с унаследованной системой или у вас слишком много мест, чтобы переключиться на PreparedStatements за слишком короткое время - то есть, если есть препятствие для использования передовой практики, предложенной другими ответами, вы можете попробовать AntiSQLFilter

Bozho
источник
5

Вам нужен следующий код ниже. На первый взгляд, это может выглядеть как любой старый код, который я составил. Однако я посмотрел на исходный код http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31/com/mysql/jdbc/PreparedStatement. Java . Затем, после этого, я внимательно просмотрел код setString (int parameterIndex, String x), чтобы найти символы, которые он экранировал, и настроил его для своего собственного класса, чтобы его можно было использовать в нужных вам целях. В конце концов, если это список символов, которые Oracle избегает, то знание этого действительно удобно с точки зрения безопасности. Может быть, Oracle нужен толчок, чтобы добавить метод, похожий на этот, для следующего основного выпуска Java.

public class SQLInjectionEscaper {

    public static String escapeString(String x, boolean escapeDoubleQuotes) {
        StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);

        int stringLength = x.length();

        for (int i = 0; i < stringLength; ++i) {
            char c = x.charAt(i);

            switch (c) {
            case 0: /* Must be escaped for 'mysql' */
                sBuilder.append('\\');
                sBuilder.append('0');

                break;

            case '\n': /* Must be escaped for logs */
                sBuilder.append('\\');
                sBuilder.append('n');

                break;

            case '\r':
                sBuilder.append('\\');
                sBuilder.append('r');

                break;

            case '\\':
                sBuilder.append('\\');
                sBuilder.append('\\');

                break;

            case '\'':
                sBuilder.append('\\');
                sBuilder.append('\'');

                break;

            case '"': /* Better safe than sorry */
                if (escapeDoubleQuotes) {
                    sBuilder.append('\\');
                }

                sBuilder.append('"');

                break;

            case '\032': /* This gives problems on Win32 */
                sBuilder.append('\\');
                sBuilder.append('Z');

                break;

            case '\u00a5':
            case '\u20a9':
                // escape characters interpreted as backslash by mysql
                // fall through

            default:
                sBuilder.append(c);
            }
        }

        return sBuilder.toString();
    }
}
Ричард
источник
2
Я думаю, что этот код является декомпилированной версией исходного кода по ссылке выше. Теперь в новом mysql-connector-java-xxx, то case '\u00a5'и case '\u20a9'заявлении , кажется , вывезенный
жа
я попробовал sqlmap с вашим кодом, и он не защитил меня от первой атаки. `Тип: булевский блайнд Название: И булевский блайнд - предложение WHERE или HAVING Полезная нагрузка: q = 1% 'И 5430 = 5430 И'% ' = '`
Шариф
Извините, это работает, но просматривал последние сохраненные результаты сеанса .. я сохранил комментарий для будущего аналогичного ..
shareef
Вы можете использовать org.ostermiller.utils.StringHelper.escapeSQL()или com.aoindustries.sql.SQLUtility.escapeSQL().
Мохамед Эннахди Эль Идрисси
1
Важно отметить лицензию GPLv2 на исходный код, с которого она была скопирована для всех, кто сталкивался с этим. Я не юрист, но я настоятельно рекомендую не использовать этот ответ в своем проекте, если вы не полностью осведомлены о последствиях включения этого лицензионного кода.
Ник Спейсек
0

После поиска тестируемого решения для предотвращения sqlmap от внедрения sql, в случае устаревшей системы, которая не может применять подготовленные отчеты везде.

Java-безопасность межсайтовых-сценарии-XSS-и-SQL-инъекция тема была решением

Я попробовал решение @Richard s, но в моем случае это не сработало. я использовал фильтр

Цель этого фильтра - обернуть запрос в оболочку MyHttpRequestWrapper с собственным кодом, которая преобразует:

параметры HTTP со специальными символами (<,>, ',…) в HTML-коды с помощью метода org.springframework.web.util.HtmlUtils.htmlEscape (…). Примечание: в Apache Commons есть похожая классификация: org.apache.commons.lang.StringEscapeUtils.escapeHtml (…) символы SQL-инъекции (', “,…) через класс Apache Commons org.apache.commons.lang.StringEscapeUtils. escapeSql (...)

<filter>
<filter-name>RequestWrappingFilter</filter-name>
<filter-class>com.huo.filter.RequestWrappingFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>RequestWrappingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>




package com.huo.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletReponse;
import javax.servlet.http.HttpServletRequest;

public class RequestWrappingFilter implements Filter{

    public void doFilter(ServletRequest req, ServletReponse res, FilterChain chain) throws IOException, ServletException{
        chain.doFilter(new MyHttpRequestWrapper(req), res);
    }

    public void init(FilterConfig config) throws ServletException{
    }

    public void destroy() throws ServletException{
    }
}




package com.huo.filter;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class MyHttpRequestWrapper extends HttpServletRequestWrapper{
    private Map<String, String[]> escapedParametersValuesMap = new HashMap<String, String[]>();

    public MyHttpRequestWrapper(HttpServletRequest req){
        super(req);
    }

    @Override
    public String getParameter(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        String escapedParameterValue = null; 
        if(escapedParameterValues!=null){
            escapedParameterValue = escapedParameterValues[0];
        }else{
            String parameterValue = super.getParameter(name);

            // HTML transformation characters
            escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

            // SQL injection characters
            escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

            escapedParametersValuesMap.put(name, new String[]{escapedParameterValue});
        }//end-else

        return escapedParameterValue;
    }

    @Override
    public String[] getParameterValues(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        if(escapedParameterValues==null){
            String[] parametersValues = super.getParameterValues(name);
            escapedParameterValue = new String[parametersValues.length];

            // 
            for(int i=0; i<parametersValues.length; i++){
                String parameterValue = parametersValues[i];
                String escapedParameterValue = parameterValue;

                // HTML transformation characters
                escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

                // SQL injection characters
                escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

                escapedParameterValues[i] = escapedParameterValue;
            }//end-for

            escapedParametersValuesMap.put(name, escapedParameterValues);
        }//end-else

        return escapedParameterValues;
    }
}
Shareef
источник
Это хорошо java-security-cross-site-scripting-xss-and-sql-injection topic? Я пытаюсь найти решение для устаревшего приложения.
около
0

От: [Источник]

public String MysqlRealScapeString(String str){
  String data = null;
  if (str != null && str.length() > 0) {
    str = str.replace("\\", "\\\\");
    str = str.replace("'", "\\'");
    str = str.replace("\0", "\\0");
    str = str.replace("\n", "\\n");
    str = str.replace("\r", "\\r");
    str = str.replace("\"", "\\\"");
    str = str.replace("\\x1a", "\\Z");
    data = str;
  }
return data;

}

Billcountry
источник
0

Если вы используете PL / SQL, вы также можете использовать DBMS_ASSERT его для очистки вашего ввода, чтобы вы могли использовать его, не беспокоясь о SQL-инъекциях.

см. этот ответ, например: https://stackoverflow.com/a/21406499/1726419

yossico
источник