जावा - एसक्यूएल इंजेक्शन को रोकने के लिए स्ट्रिंग से बच

मैं जावा में जगह-जगह कुछ एंटी एसक्यूएल इंजेक्शन लगाने की कोशिश कर रहा हूं और "रिप्लेसमेंट" स्ट्रिंग फंक्शन के साथ काम करना बहुत मुश्किल हो रहा है। अंततः मुझे एक फ़ंक्शन की आवश्यकता है जो किसी भी मौजूदा \को \\, किसी "को \", किसी 'को \', और किसी \nको भी परिवर्तित कर देगा , \\nजब स्ट्रिंग का मूल्यांकन MySQL SQL इंजेक्शन द्वारा किया जाएगा।

मैं कुछ कोड के साथ काम कर रहा हूं जिनके साथ मैं काम कर रहा था और सभी \\\\\\\\\\\समारोह मेरी आंखों को पागल बना रहे थे। अगर किसी को भी इसका उदाहरण मिलता है तो मैं इसकी बहुत सराहना करूंगा।

रेडीस्टेडमेंट जाने का रास्ता है, क्योंकि वे SQL इंजेक्शन को असंभव बनाते हैं। यहां उपयोगकर्ता के इनपुट को मापदंडों के रूप में लेते हुए एक सरल उदाहरण दिया गया है:

public insertUser(String name, String email) {
   Connection conn = null;
   PreparedStatement stmt = null;
   try {
      conn = setupTheDatabaseConnectionSomehow();
      stmt = conn.prepareStatement("INSERT INTO person (name, email) values (?, ?)");
      stmt.setString(1, name);
      stmt.setString(2, email);
      stmt.executeUpdate();
   }
   finally {
      try {
         if (stmt != null) { stmt.close(); }
      }
      catch (Exception e) {
         // log this error
      }
      try {
         if (conn != null) { conn.close(); }
      }
      catch (Exception e) {
         // log this error
      }
   }
}

कोई फर्क नहीं पड़ता कि नाम और ईमेल में कौन से वर्ण हैं, उन वर्णों को सीधे डेटाबेस में रखा जाएगा। वे किसी भी तरह से INSERT के बयान को प्रभावित नहीं करेंगे।

विभिन्न डेटा प्रकारों के लिए अलग-अलग सेट विधियां हैं - जो आप उपयोग करते हैं वह इस बात पर निर्भर करता है कि आपके डेटाबेस फ़ील्ड क्या हैं। उदाहरण के लिए, यदि आपके पास डेटाबेस में एक INTEGER कॉलम है, तो आपको एक setIntविधि का उपयोग करना चाहिए । डेटा तैयार करने और प्राप्त करने के लिए तैयार किए गए सभी अलग-अलग तरीकों की सूची तैयार करता है।

SQL इंजेक्शन को रोकने का एकमात्र तरीका पैरामीटरलाइज्ड SQL है। यह केवल एक फिल्टर का निर्माण करना संभव नहीं है जो कि उन लोगों की तुलना में अधिक स्मार्ट है जो SQL को एक जीवित के लिए हैक करते हैं।

इसलिए सभी इनपुट, अपडेट और जहां क्लॉज़ हैं, वहां पैरामीटर का उपयोग करें। डायनेमिक SQL केवल हैकर्स के लिए एक खुला दरवाजा है, और जिसमें संग्रहीत प्रक्रियाओं में डायनेमिक SQL शामिल है। परिमाप करना, मापना, परिमाण करना।

यदि वास्तव में आप डिफेंस ऑप्शन का उपयोग नहीं कर सकते हैं 1: तैयार स्टेटमेंट (पैरामीटर क्वेरी) या डिफेंस ऑप्शन 2: स्टोर्ड प्रोसीजर , अपना खुद का टूल न बनाएं , OWASP एंटरप्राइज सिक्योरिटी एपीआई का उपयोग करें । से OWASP ESAPI गूगल कोड पर होस्ट:

अपने स्वयं के सुरक्षा नियंत्रण न लिखें! जब हर वेब एप्लिकेशन या वेब सेवा के लिए सुरक्षा नियंत्रण विकसित करने की बात आती है, तो पहिया को फिर से चालू करना व्यर्थ समय और बड़े पैमाने पर सुरक्षा छेदों की ओर जाता है। OWASP एंटरप्राइज सिक्योरिटी एपीआई (ESAPI) टूलकिट सॉफ्टवेयर डेवलपर्स को सुरक्षा से संबंधित डिजाइन और कार्यान्वयन की खामियों से बचाने में मदद करता है।

अधिक जानकारी के लिए, जावा और SQL इंजेक्शन निवारण धोखा शीट में SQL इंजेक्शन को रोकना देखें ।

डिफेंस ऑप्शन 3 पर विशेष ध्यान दें : ऑल यूजर सप्लीमेंट इनपुट से बचना जो OWASP ESAPI प्रोजेक्ट का परिचय देता है )।

(यह मूल प्रश्न के तहत ओपी की टिप्पणी के जवाब में है; मैं पूरी तरह से सहमत हूं कि रेडीस्टेडमेंट इस नौकरी के लिए उपकरण है, न कि रेगेक्स।)

जब आप कहते हैं कि \n, आप अनुक्रम मतलब है \+ nया एक वास्तविक linefeed चरित्र? यदि यह \+ है n, तो कार्य बहुत सीधा है:

s = s.replaceAll("['\"\\\\]", "\\\\$0");

इनपुट में एक बैकस्लैश का मिलान करने के लिए, आप उनमें से चार को रेगेक्स स्ट्रिंग में डालते हैं। आउटपुट में एक बैकस्लैश डालने के लिए, आप उनमें से चार को प्रतिस्थापन स्ट्रिंग में डालते हैं। यह मान रहे हैं कि आप जावा स्ट्रिंग शाब्दिक के रूप में रेगी और रिप्लेसमेंट बना रहे हैं। यदि आप उन्हें किसी अन्य तरीके से बनाते हैं (उदाहरण के लिए, उन्हें फ़ाइल से पढ़कर), तो आपको वह सब करने की ज़रूरत नहीं है, जो डबल-एस्केपिंग है।

यदि आपके पास इनपुट में एक लाइनफीड चरित्र है और आप इसे एक एस्केप सीक्वेंस के साथ बदलना चाहते हैं, तो आप इनपुट के साथ दूसरा पास बना सकते हैं:

s = s.replaceAll("\n", "\\\\n");

या शायद आप दो बैकस्लैश चाहते हैं (मैं उस पर बहुत स्पष्ट नहीं हूं):

s = s.replaceAll("\n", "\\\\\\\\n");

ReadyedStatements अधिकांश में जाने का तरीका है, लेकिन सभी मामलों में नहीं। कभी-कभी आप अपने आप को एक ऐसी स्थिति में पाएंगे जहां एक क्वेरी, या इसका एक हिस्सा, बाद में उपयोग के लिए एक स्ट्रिंग के रूप में बनाया और संग्रहीत किया जाना चाहिए। की जाँच करें SQL इंजेक्शन रोकथाम चीट शीट पर OWASP साइट अधिक जानकारी और विभिन्न प्रोग्रामिंग भाषाओं में एपीआई के लिए।

तैयार स्टेटमेंट सबसे अच्छा समाधान है, लेकिन अगर आपको वास्तव में इसे मैन्युअल रूप से करने की आवश्यकता है तो आप StringEscapeUtilsअपाचे कॉमन्स-लैंग लाइब्रेरी से भी क्लास का उपयोग कर सकते हैं । इसकी एक escapeSql(String)विधि है, जिसका आप उपयोग कर सकते हैं:

import org.apache.commons.lang.StringEscapeUtils; … String escapedSQL = StringEscapeUtils.escapeSql(unescapedSQL);

पाठ को हटाने के लिए एक नियमित अभिव्यक्ति का उपयोग करना, जो SQL इंजेक्शन की आवाज़ का कारण बन सकता है जैसे SQL कथन डेटाबेस के माध्यम से भेजा जा रहा है Statement बजाय हैPreparedStatement ।

पहली बार में SQL इंजेक्शन को रोकने के सबसे आसान तरीकों में से एक का उपयोग करना है PreparedStatement , जो प्लेसहोल्डर्स का उपयोग करके SQL कथन में स्थानापन्न करने के लिए डेटा को स्वीकार करता है, जो डेटाबेस को भेजने के लिए SQL कथन बनाने के लिए स्ट्रिंग कॉनटेनटेशन पर भरोसा नहीं करता है।

अधिक जानकारी के लिए, जावा ट्यूटोरियल से तैयार स्टेटमेंट का उपयोग करना शुरू करने के लिए एक अच्छी जगह होगी।

यदि आप एक विरासत प्रणाली के साथ काम कर रहे हैं, या आपके पास बहुत PreparedStatementकम समय में एस पर स्विच करने के लिए बहुत सी जगहें हैं - यानी यदि अन्य उत्तरों द्वारा सुझाए गए सर्वोत्तम अभ्यास का उपयोग करने में कोई बाधा है, तो आप AntiSQLFilter आज़मा सकते हैं

आपको निम्न कोड की आवश्यकता है। एक नज़र में, यह किसी भी पुराने कोड की तरह लग सकता है जिसे मैंने बनाया था। हालाँकि, मैंने जो किया वह http://grepcode.com/file/repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.31.com/mysql/jdbc/PreparedStatement के स्रोत कोड को देख रहा था । जावा । फिर उसके बाद, मैंने ध्यान से सेटस्ट्रिंग (int पैरामीटरIndex, String x) कोड के माध्यम से उन पात्रों को ढूंढा जो इसे बचते हैं और इसे मेरी अपनी कक्षा में अनुकूलित किया है ताकि इसका उपयोग उन उद्देश्यों के लिए किया जा सके जिनकी आपको आवश्यकता है। आखिरकार, अगर यह उन पात्रों की सूची है जो ओरेकल बच जाते हैं, तो यह जानना वास्तव में सुरक्षा-वार आराम है। हो सकता है कि ओरेकल को अगले प्रमुख जावा रिलीज के लिए इस तरह की एक विधि को जोड़ने के लिए एक कुहनी से हलका धक्का देना पड़े।

public class SQLInjectionEscaper {

    public static String escapeString(String x, boolean escapeDoubleQuotes) {
        StringBuilder sBuilder = new StringBuilder(x.length() * 11/10);

        int stringLength = x.length();

        for (int i = 0; i < stringLength; ++i) {
            char c = x.charAt(i);

            switch (c) {
            case 0: /* Must be escaped for 'mysql' */
                sBuilder.append('\\');
                sBuilder.append('0');

                break;

            case '\n': /* Must be escaped for logs */
                sBuilder.append('\\');
                sBuilder.append('n');

                break;

            case '\r':
                sBuilder.append('\\');
                sBuilder.append('r');

                break;

            case '\\':
                sBuilder.append('\\');
                sBuilder.append('\\');

                break;

            case '\'':
                sBuilder.append('\\');
                sBuilder.append('\'');

                break;

            case '"': /* Better safe than sorry */
                if (escapeDoubleQuotes) {
                    sBuilder.append('\\');
                }

                sBuilder.append('"');

                break;

            case '\032': /* This gives problems on Win32 */
                sBuilder.append('\\');
                sBuilder.append('Z');

                break;

            case '\u00a5':
            case '\u20a9':
                // escape characters interpreted as backslash by mysql
                // fall through

            default:
                sBuilder.append(c);
            }
        }

        return sBuilder.toString();
    }
}

लीगल सिस्टम के मामले में sql इंजेक्शन से sqlmap को रोकने के लिए समाधान की एक परीक्षण खोज करने के बाद, जहां हर जगह तैयार की गई मूर्तियां लागू नहीं हो सकती हैं।

जावा-सुरक्षा-क्रॉस-साइट-स्क्रिप्टिंग-xss-and-sql-injection विषय WAS THE SOLUTION था

मैंने @ रिचार्ड के समाधान की कोशिश की लेकिन मेरे मामले में काम नहीं किया। मैंने एक फिल्टर का इस्तेमाल किया

इस फ़िल्टर का लक्ष्य अनुरोध को स्वयं-कोडित आवरण MyHttpRequestWrapper में बदलना है।

विशेष वर्ण (<,>,, ...) के साथ HTTP पैरामीटर HTML कोड में org.springframework.web.util.HtmlUtils.htmlEscape (…) विधि के माध्यम से। नोट: Apache Commons में समान क्लैसे है: org.apache.commons.lang.StringEscapeUtils.escapeHtml (…) SQL इंजेक्शन वर्ण (“,”,…) एप्स कॉमन्स classe org.apache.commons.lring.StringEscapeUtils के माध्यम से। escapeSql (...)

<filter>
<filter-name>RequestWrappingFilter</filter-name>
<filter-class>com.huo.filter.RequestWrappingFilter</filter-class>
</filter>

<filter-mapping>
<filter-name>RequestWrappingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>




package com.huo.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletReponse;
import javax.servlet.http.HttpServletRequest;

public class RequestWrappingFilter implements Filter{

    public void doFilter(ServletRequest req, ServletReponse res, FilterChain chain) throws IOException, ServletException{
        chain.doFilter(new MyHttpRequestWrapper(req), res);
    }

    public void init(FilterConfig config) throws ServletException{
    }

    public void destroy() throws ServletException{
    }
}




package com.huo.filter;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class MyHttpRequestWrapper extends HttpServletRequestWrapper{
    private Map<String, String[]> escapedParametersValuesMap = new HashMap<String, String[]>();

    public MyHttpRequestWrapper(HttpServletRequest req){
        super(req);
    }

    @Override
    public String getParameter(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        String escapedParameterValue = null; 
        if(escapedParameterValues!=null){
            escapedParameterValue = escapedParameterValues[0];
        }else{
            String parameterValue = super.getParameter(name);

            // HTML transformation characters
            escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

            // SQL injection characters
            escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

            escapedParametersValuesMap.put(name, new String[]{escapedParameterValue});
        }//end-else

        return escapedParameterValue;
    }

    @Override
    public String[] getParameterValues(String name){
        String[] escapedParameterValues = escapedParametersValuesMap.get(name);
        if(escapedParameterValues==null){
            String[] parametersValues = super.getParameterValues(name);
            escapedParameterValue = new String[parametersValues.length];

            // 
            for(int i=0; i<parametersValues.length; i++){
                String parameterValue = parametersValues[i];
                String escapedParameterValue = parameterValue;

                // HTML transformation characters
                escapedParameterValue = org.springframework.web.util.HtmlUtils.htmlEscape(parameterValue);

                // SQL injection characters
                escapedParameterValue = StringEscapeUtils.escapeSql(escapedParameterValue);

                escapedParameterValues[i] = escapedParameterValue;
            }//end-for

            escapedParametersValuesMap.put(name, escapedParameterValues);
        }//end-else

        return escapedParameterValues;
    }
}

से: [स्रोत]

public String MysqlRealScapeString(String str){
  String data = null;
  if (str != null && str.length() > 0) {
    str = str.replace("\\", "\\\\");
    str = str.replace("'", "\\'");
    str = str.replace("\0", "\\0");
    str = str.replace("\n", "\\n");
    str = str.replace("\r", "\\r");
    str = str.replace("\"", "\\\"");
    str = str.replace("\\x1a", "\\Z");
    data = str;
  }
return data;

}

यदि आप PL / SQL का उपयोग कर रहे हैं तो आप भी उपयोग कर सकते हैं DBMS_ASSERT तो आप इसका उपयोग अपने इनपुट को भी सुरक्षित कर सकते हैं ताकि आप एसक्यूएल इंजेक्शन के बारे में चिंता किए बिना इसका उपयोग कर सकें।

उदाहरण के लिए यह उत्तर देखें: https://stackoverflow.com/a/21406499/1726419