【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了怎样使用JDBC驱动建立一个简单的连接。并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比較Statement和PreparedStatement。当然这两者还有非常多其它方面的不同,在之后的blog中会继续更新。
【Statement查询】
1、在DBHelper.java中新增一个通过username和password查询user的方法。
public static void queryByUser(String username,String password) {
Connection conn = DBConnection.getConnection();
Statement stmt = null;
ResultSet rs = null;
try {
stmt = conn.createStatement();
rs = stmt.executeQuery("select * from user where username = '" + username+"' and password='"+password+"'");
while (rs.next()) {
User user = new User();
user.setId(rs.getInt("id"));
user.setUsername(rs.getString("username"));
user.setPassword(rs.getString("password"));
user.setGender(rs.getBoolean("gender"));
user.setRegtime(rs.getDate("regtime"));
System.out.println(user.toString());
}
} catch (SQLException e) {
e.printStackTrace();
}finally {
DBConnection.closeResultSet(rs);
DBConnection.closeStatement(stmt);
DBConnection.closeConnection(conn);
}
}
2、在DBHelperTest.java中新增一个測试方法进行測试
public void queryByUserTest(){
DBHelper.queryByUser("jack", "jack");
}
Java端測试结果:
測试结果表明:通过一个有效的username和password,成功获取到了该用户的全部信息。
3、 通过MySQL日志信息,跟踪查询sql语句。详细方法參考 MySQL怎样跟踪sql语句。
打开mysql.log日志。跟踪查看最新的日志。例如以下所看到的:
140514 10:16:13 15 Query SET character_set_results = NULL 15 Query SHOW VARIABLES 15 Query SHOW WARNINGS 15 Query SHOW COLLATION 15 Query SET autocommit=1 15 Query select * from user where username = 'jack' and password='jack' 15 Quit
日志信息表明:数据库端运行了正常的查询语句。
4、在DBHelperTest.java中新增一个注入攻击測试,username输入:hack(随意字符串),password输入:' or '1'='1
public void queryByUserInjectTest(){
DBHelper.queryByUser("hack", "' or '1'='1");
}
Java端測试结果:
User [id=2, username=jack, password=jack, gender=true, regtime=2014-05-14]
User [id=3, username=rose, password=rose, gender=false, regtime=2014-05-13]
測试结果表明:通过注入攻击,一个非法的用户能够获取到user表中的全部用户信息,太可怕了!
5、通过MySQL日志信息,跟踪查询sql语句,分析数据端究竟发生了什么事情。
140514 10:23:14 16 Connect root@localhost on db_bbs 16 Query SET NAMES latin1 16 Query SET character_set_results = NULL 16 Query SHOW VARIABLES 16 Query SHOW WARNINGS 16 Query SHOW COLLATION 16 Query SET autocommit=1 16 Query select * from user where username = 'hack' and password='' or '1'='1' 16 Quit数据库端运行了一条语句:
select * from user where username = 'hack' and password='' or '1'='1'
由于where条件恒为真,相当于运行了:
select * from user
通过这条语句获取到了全部的用户信息。
【PreparedStatement查询】
1、在DBHelper.java中新增一个通过username和password查询user的方法。public static void queryPrepareByUser(String username,String password) {
Connection conn = DBConnection.getConnection();
PreparedStatement ps = null;
ResultSet rs = null;
try {
ps = conn.prepareStatement("select * from user where username = ? and password = ?");
ps.setString(1,username);// 设置占位符參数
ps.setString(2, password);
rs = ps.executeQuery();
while (rs.next()) {
User user = new User();
user.setId(rs.getInt("id"));
user.setUsername(rs.getString("username"));
user.setPassword(rs.getString("password"));
user.setGender(rs.getBoolean("gender"));
user.setRegtime(rs.getDate("regtime"));
System.out.println(user.toString());
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBConnection.closeResultSet(rs);
DBConnection.closeStatement(ps);
DBConnection.closeConnection(conn);
}
}
2、在DBHelperTest.java中新增一个測试方法进行測试
public void queryByPreparedUserTest(){
DBHelper.queryPrepareByUser("jack", "jack");
}Java端測试结果:
測试结果表明:通过一个合法的username和password。得到了该用户的全部信息。
3、 通过MySQL日志信息,跟踪查询sql语句。
140514 10:37:04 17 Connect root@localhost on db_bbs 17 Query SET NAMES latin1 17 Query SET character_set_results = NULL 17 Query SHOW VARIABLES 17 Query SHOW WARNINGS 17 Query SHOW COLLATION 17 Query SET autocommit=1 17 Prepare select * from user where username = ? and password = ?日志信息表明:数据库端首先运行了预编译。并运行了正常的查询语句。17 Execute select * from user where username = 'jack' and password = 'jack' 17 Close stmt 17 Quit
4、在DBHelperTest.java中新增一个注入攻击測试:
public void queryByPreparedUserInjectTest(){
DBHelper.queryPrepareByUser("hack", "' or '1'='1");
}
Java端測试结果:
没有打印出不论什么消息,即没有获取到用户的信息,难道注入攻击无效!
5、通过MySQL日志信息,跟踪查询sql语句,为什么注入攻击无效了?
140514 10:42:42 19 Query SET character_set_results = NULL 19 Query SHOW VARIABLES 19 Query SHOW WARNINGS 19 Query SHOW COLLATION 19 Query SET autocommit=1 19 Prepare select * from user where username = ? and password = ?19 Execute select * from user where username = 'hack' and password = '\' or \'1\'=\'1' 19 Close stmt 19 Quit
原来是运行了:select * from user where username = 'hack' and password = '\' or \'1\'=\'1'
【參考】
JDBC Statement vs PreparedStatement – SQL Injection Example(推荐)
JDBC为什么要使用PreparedStatement而不是Statement
【你可能感兴趣】
建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement
转载请注明出处:http://blog.csdn.net/andie_guo/article/details/25775163,谢谢!
浙公网安备 33010602011771号