Prévention des attaques par injection SQL dans un programme Java

J'ai du ajouter une déclaration à mon programme java pour mettre à jour une table de base de données:

String insert =
    "INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";

J'ai entendu dire que cela peut être exploité grâce à une injection SQL comme:

DROP TABLE customer;

Mon programme a une IHM Java et tous les nom, adresse e-mail et les valeurs sont récupérées à partir de Jtextfields. Je veux savoir comment le code suivant (DROP TABLE customer;) pourrait être ajouté à mon insert par un hacker et comment je peux l'en empêcher.

source d'informationauteur Grant

  1. 20

    Vous devez utiliser PreparedStatement.
    par exemple,

    String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

    Cela permettra d'éviter les attaques par injection.

    La façon dont le hacker met en il y a si la Chaîne que vous insérez est venu à partir d'une entrée quelque part - par exemple, un champ de saisie sur une page web, ou un champ de saisie dans un formulaire dans une application ou similaire.

  2. 12

    Je veux savoir comment ce genre morceau de code("DROP TABLE client;") peut
    ajouter à ma instruction insert par un hacker

    Par exemple: 

    name = "'); DROP TABLE customer; --"

    donnerait cette valeur dans insérer:

    INSERT INTO customer(name,address,email)     VALUES(''); DROP TABLE customer; --"','"+addre+"','"+email+"');

    J'ai surtout envie de savoir comment puis-je éviter cela

    Utiliser des requêtes préparées et SQL arguments (par exemple "volé" de Matt Boursiers):

    String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStament ps = connection.prepareStatment(insert);

    Également analyser les valeurs que vous avez sur ces variables, et assurez-vous qu'ils ne contiennent pas non caractères autorisés (tels que le ";" dans un nom).

  3. 7

    Vous pouvez vérifier CETTE article pour plus d'informations sur ce! 🙂

    Je recommande les Requêtes Paramétrées:

    String selectStatement = "SELECT * FROM User WHERE userId = ? ";
PreparedStatement prepStmt = con.prepareStatement(selectStatement);
prepStmt.setString(1, userId);
ResultSet rs = prepStmt.executeQuery();
  4. 5

    Un attaquant a juste à taper quelque chose comme '[email protected]"); DROP TABLE customer; dans le domaine de email et vous avez terminé.

    Vous pouvez éviter cela en utilisant le bon s'échapper pour JDBC Consolidés.

  5. 2

    C'est pourquoi vous devez utiliser un point d'interrogation dans votre chaîne de déclarations:

     PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
                                     SET SALARY = ? WHERE ID = ?");
   pstmt.setBigDecimal(1, 153833.00)
   pstmt.setInt(2, 110592)

    cité de ici

  6. 1

    Comme expliqué dans ce postle PreparedStatement seul ne peut pas vous aider si vous avez encore de la concaténation de Chaînes.

    Par exemple, un voleur attaquant peut toujours faire ce qui suit:

    • appeler une fonction de veille, de sorte que toutes vos connexions de base de données sera occupé, par conséquent, faire de votre application indisponible
    • l'extraction de données sensibles à partir de la DB
    • contournement de l'authentification de l'utilisateur

    Ça ne vient pas de SQL, mais JPQL et HQL peut être compromise si vous n'êtes pas à l'aide de lier des paramètres:

    PreparedStatement ps = connection.prepareStatement(
    INSERT INTO customer(name,address,email) VALUES(?, ?, ?)
);
int index = 0;
ps.setString(++index, name);
ps.setString(++index, address);
ps.setString(++index, email);

ResultSet rs = ps.executeQuery();

    Ligne de fond, vous ne devez jamais utiliser la concaténation de chaîne lors de la construction d'instructions SQL. L'utilisation d'une API dédiée à cet effet:

  7. 0

    Aller pour PreparedStatement
    Les avantages d'un PreparedStatement:

    Précompilation et DB la mise en cache côté de l'instruction SQL conduit à l'ensemble de la rapidité d'exécution et la possibilité de réutiliser la même instruction SQL dans les lots.

    Automatique de la prévention des attaques par injection SQL par builtin échapper à des citations et autres caractères spéciaux. Notez que cette fonction nécessite que vous utilisez l'un des PreparedStatement setXxx() les méthodes pour définir la valeur