Fatal编程技术网
  • java/
  • Java 我易受SQL注入攻击吗?

Java 我易受SQL注入攻击吗?

java sql

Java 我易受SQL注入攻击吗?,java,sql,sql-injection,liquibase,Java,Sql,Sql Injection,Liquibase,我有一个类,它扩展了一个实现CustomTaskChange的类。由于一些类属性(如列名和类型)是通过XML文件传递给它的,因此我需要进行字符串连接。我确实使用PreparedStatement,但我想知道是否因为它我仍然容易受到SQL注入的攻击,如果是这种情况,我如何才能使它安全? XML是一个Liquibase变更集(我将在下面留下一个示例) XML文件 它是否是SQL注入漏洞取决于XML文件的来源 如果程序员正在编写这样的文件,那么就不会有SQL注入问题。是的,连接危险的东西是可能的,但这

我有一个类,它扩展了一个实现CustomTaskChange的类。由于一些类属性(如列名和类型)是通过XML文件传递给它的,因此我需要进行字符串连接。我确实使用PreparedStatement,但我想知道是否因为它我仍然容易受到SQL注入的攻击,如果是这种情况,我如何才能使它安全? XML是一个Liquibase变更集(我将在下面留下一个示例)

XML文件
它是否是SQL注入漏洞取决于XML文件的来源

如果程序员正在编写这样的文件,那么就不会有SQL注入问题。是的,连接危险的东西是可能的,但这并不比开发人员直接在代码中编写危险的东西更危险

但是,如果XML文件来自最终用户或其他服务,或者来自允许其他人或服务修改的文件,则应将其视为潜在危险,并且您的代码将面临SQL注入攻击的风险

由于所有连接的值实际上都是标识符(列名和数据类型),而不是值,因此如果您检查它们是否仅由字母数字字符组成,则可能是安全的:

if (!getColumnName().matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid column name: \"" + getColumnName() + "\"");
}
if (!after.matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid 'after' column name: \"" + after + "\"");
}
if (!getColumnType().matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid column type: \"" + getColumnType() + "\"");
}
对您在不进行清理的情况下手动构造SQL,因此在调用prepareStatement时,为时已晚。如果
this.getColumnName()
返回
'',该怎么办;DROP TABLE blahblah…
我有什么办法可以阻止它吗?我确实需要XML文件传递参数。在这种情况下,我真的不需要PreparedStatement,而是可以使用语句?我不知道这是否可行,但对于您给出的示例,如果我验证变量的值是否为单个单词,是否安全?当然。编写自己功能完善的SQL注入保护当然是可能的,但也有风险。如果检查字符串是否包含a-Z字符就足够了,那么这就足够简单,我不会在代码审查中拒绝它。自定义验证越复杂,它包含破坏整个保护的错误的可能性就越高。字母数字排除空格,对吗?这样,用户不能发送多个单词。这是我对protectionCorrect的基本想法,{AlNum}只是A-Z、A-Z和0-9。请参阅。由于PreparedStatement非常无用,因为我正在从文件接收值,所以我应该切换到语句吗?这样,我就不必总是实例化一个新对象。使用PreparedStatement没有害处。另外,我是否也应该在defaultValue中进行验证?因为如果发送的值可以是例如“ABC;DROP TABLE asdds” 
@Override
    public void execute(Database database) throws CustomChangeException {

        try {
            //check if there are any errors in the changelog file
            checkArgumentsNumber();

            boolean tablesFound = false;
            boolean columnsAdded = false;
            String sqlStatement = "ALTER TABLE NAME ADD COLUMN " +this.getColumnName()+" "+this.getColumnType();

            if(notNull){
                sqlStatement+=" NOT NULL";
            }

            if(defaultValue!=null){
                sqlStatement+=" DEFAULT ?";
            }

            if (this.after != null) {
                sqlStatement += " AFTER " +this.after;
            }

            System.out.println("The statement is: "+sqlStatement);

            //get tables in the database
            JdbcConnection connection = (JdbcConnection) database.getConnection();
            DatabaseMetaData metadata;
            metadata = connection.getMetaData();
            String[] types = {"TABLE"};
            ResultSet rs = metadata.getTables(connection.getCatalog(), null, "%", types);

            //if the user chose to use a regex
            if (this.getRegex() != null) {
                Pattern pattern = Pattern.compile(this.getRegex());

                while (rs.next()) {
                    String tableName = rs.getString(3);
                    Matcher matcher = pattern.matcher(tableName);
                    boolean matches = matcher.matches();
                    if (matches) {
                        tablesFound = true;
                        String addStatement=sqlStatement.replaceAll("NAME",tableName);
                        PreparedStatement s = connection.prepareStatement(addStatement);
                        if (!checkColumnsExists(s, tableName)) {
                            if(this.defaultValue!=null){
                                s.setString(1,this.defaultValue);
                            }
                            System.out.println("REGEX:"+s.toString());
                            s.executeUpdate();
                            columnsAdded = true;
                        }
                    }
                }
            }

            checkInvalidInfo(tablesFound, columnsAdded, "All the matching tables already had that column");
        } catch (InvalidArgumentsNumberException | SQLException | InvalidInfoException | DatabaseException e) {
            throw new CustomChangeException("Error enabling trigger: " + e);
        }
    }

if (!getColumnName().matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid column name: \"" + getColumnName() + "\"");
}
if (!after.matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid 'after' column name: \"" + after + "\"");
}
if (!getColumnType().matches("\\p{AlNum}+")) {
    throw new CustomChangeException(
        "Invalid column type: \"" + getColumnType() + "\"");
}