声明 SQL 注入邪恶

**请注意,**在此示例中,我们将使用 PostgreSQL DBMS,但你可以使用任何 DBMS

我们将使用数据库 bd_test 女巫包含 Schema: sch_test 和两个表 userstest

CREATE TABLE sch_test.users
(
  id serial NOT NULL,
  username character varying,
  password character varying,
  CONSTRAINT utilisateur_pkey PRIMARY KEY (id)
) 

CREATE TABLE sch_test.test
(
  id serial NOT NULL,
  "column" character varying
)

使用 Statement 简单登录

static String DRIVER = "org.postgresql.Driver";
static String DB_USERNAME = "postgres";
static String DB_PASSWOR = "admin";
static String DB_URL = "jdbc:postgresql://localhost:5432/bd_test";

public static void sqlInjection() {
    try {
        Class.forName(DRIVER);
        Connection connection = DriverManager.getConnection(DB_URL, DB_USERNAME, DB_PASSWOR);
        Statement statement = connection.createStatement();
        String username = "admin";
        String password = "admin";
        String query = "SELECT * FROM sch_test.users where username = '" 
                + username + "' and password = '" + password + "'";

        ResultSet result = statement.executeQuery(query);

        if (result.next()) {
            System.out.println("id = " + result.getInt("id") + " | username = "
                    + result.getString("username") + " | password = " + result.getString("password"));
        }else{
           System.out.println("Login not correct");
        }

    } catch (ClassNotFoundException | SQLException e) {
        e.printStackTrace();
    }
}

到目前为止,每件事都是正常和安全的。

使用假用户名和密码登录

黑客或测试人员可以使用以下命令登录或列出所有用户:

String username = " ' or ''='";
String password = " ' or ''='";

插入新用户

你可以使用以下方法在表中插入数据:

String username = "'; INSERT INTO sch_test.utilisateur(id, username, password) 
                        VALUES (2, 'hack1', 'hack2');--";
String password = "any";

删除所有用户

考虑黑客知道你的数据库的架构,以便他可以删除你的所有用户

String username = "'; DELETE FROM sch_test.utilisateur WHERE id>0;--";
String password = "any"; 

DROP 表用户

黑客也可以删除你的表

String username = "'; drop table sch_test.table2;--";
String password = "any";

DROP DATABASE

最糟糕的是丢弃数据库

String username = "'; DROP DATABASE bd_test;--";
String password = "any";

还有很多其他的。

为什么这一切?

所有这一切,因为 Statement 不够安全,它执行查询就像它,因为它建议使用 PreparedStatement 代替,它更安全 Statement

你可以在这里找到更多细节 PreparedStatement