作者:肖文偉
今天在IBM的站點(diǎn)上看到一篇關(guān)于系統(tǒng)安全的文章,文章是由伍斯特工業(yè)學(xué)院(Worcester Polytechnic Institute,WPI)的計(jì)算機(jī)科學(xué)在讀研究生Bob Breznak寫的.
中間有很多關(guān)于系統(tǒng)攻擊方法,不禁讓人深思:我們的系統(tǒng)到底有多脆弱呢?
文章位于:
http://www.ibm.com/developerworks/cn/rational/edge/08/may08/breznak/
我嘗試了文中所講的利用SQL注入的這種簡(jiǎn)單的攻擊方法,以及我所知道的解決方法,我將它分享出來,希望你看過之后會(huì)有所收獲.當(dāng)然,我指的有所收獲不是讓你嘗試去攻擊別人的系統(tǒng),而是讓你在設(shè)計(jì)系統(tǒng)的時(shí)候也將這類安全問題考慮進(jìn)去.
首先讓我們來看看我們?cè)?/span>JAVA中常用到的驗(yàn)證用戶登錄的SQL語句:
String sql="SELECT * FROM users WHERE Login_name='"+username+"' and Password='"+password+"'";
假設(shè)我的數(shù)據(jù)表users中有這樣一些數(shù)據(jù):
|
Login_name
|
Password
|
|
admin
|
abc#@4531
|
|
xiaowenwei
|
#@#Measuer71
|
1. 當(dāng)用戶在登錄時(shí)輸入:Login_name= "admin"; Password= "abc#@4531"時(shí)我們的SQL語句會(huì)變成:
String sql="SELECT * FROM users WHERE Login_name='admin' and Password=' abc#@4531'";
這樣可以查看出來一條結(jié)果,系統(tǒng)也不會(huì)有問題,一切正常.
Ok,讓我們?cè)賮砜纯聪旅娴倪@種方式.
2. 當(dāng)黑客在登錄時(shí)輸入:Login_name= "admin"; Password= "def' OR 1=1--"時(shí)我們的SQL語句會(huì)變成:(注意,用戶輸入法的Password字符串是: "def' OR 1=1--")
String sql="SELECT * FROM users WHERE Login_name='admin' and Password='def' OR 1=1-—'";
看出來什么了嗎?
這句SQL會(huì)這樣執(zhí)行:
SELECT * FROM users WHERE Login_name='admin' and Password='def' OR 1=1
后面的-—'被當(dāng)作SQL注釋了.
這樣結(jié)果我們可想而知,黑客不用知道密碼便輕易登錄上你的系統(tǒng)了,這樣他便可以利用SQL注入在你的系統(tǒng)上做更多讓你意想不到和害怕的事情!!!
解決方法(一):使用預(yù)處理器PreparedStatement
我嘗試了如果系統(tǒng)中使用處理器Statement來執(zhí)行登錄驗(yàn)證的SQL語句的話,那你的系統(tǒng)就等著被黑吧.結(jié)果就會(huì)像上面所說的那樣.黑客可以輕易登錄上你的系統(tǒng).
而我嘗試將處理器改為預(yù)處理器之后,就不會(huì)發(fā)生這種問題了,代碼如下:(下面代碼示例是等著被黑的那種,中間注釋了使用預(yù)處理器的方法),至于是為什么,還是你自己來想吧.
/**
* 根據(jù)用戶名和密碼查詢用戶資料
* @param username 用戶登錄名
* @param password 用戶密碼
* @return 用戶實(shí)體
*/
public UserBean getUserByPwd(String username,String password)
{
//聲明用戶實(shí)體
UserBean user=null;
//獲得數(shù)據(jù)庫連接對(duì)象
Connection conn=DBConnection.getConnection();
//使用 預(yù)處理器 的SQL語句
//String sql="select * from Sys_user where Login_name=? and Password=?";
//使用 處理器 的SQL語句
String sql="select * from Sys_user where Login_name='"+username+"' and Password='"+password+"'";
try
{
//使用 預(yù)處理器 的方式:
/*PreparedStatement pstmt=conn.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs=pstmt.executeQuery();*/
//使用 處理器 的方式:
Statement stmt=conn.createStatement();
ResultSet rs=stmt.executeQuery(sql);
//如果有結(jié)果集
if(rs.next())
{
//獲得結(jié)果集中的結(jié)果
long userid=rs.getLong("User_id");
String loginname=rs.getString("Login_name");
String pwd=rs.getString("Password");
String uname=rs.getString("User_name");
short gender=rs.getShort("Gender");
String privatephone=rs.getString("Private_phone");
String companyphone=rs.getString("Company_phone");
String email=rs.getString("Email");
short isactive=rs.getShort("Is_active");
//將結(jié)果構(gòu)造成用戶實(shí)體
user=new UserBean(userid,loginname,pwd,uname,gender,privatephone,companyphone,email,isactive);
}
} catch (SQLException e)
{
e.printStackTrace();
}
//返回用戶實(shí)體
return user;
}
解決方法(二):對(duì)用戶密碼加密處理
這種方法比較可靠,我一般使用的是MD5加密方式,將用戶密碼加密成32位長(zhǎng)度的16進(jìn)制字符串.使用這種方式時(shí),在系統(tǒng)中使用的過程一般為:
1. 注冊(cè)新用戶時(shí),將用戶輸入的密碼進(jìn)行MD5加密后再保存進(jìn)數(shù)據(jù)庫;
2. 用戶修改密碼時(shí),將用戶輸入的密碼進(jìn)行MD5加密后再保存進(jìn)數(shù)據(jù)庫;
3. 用戶登錄時(shí),將用戶輸入的登錄密碼進(jìn)行MD5加密后,再做SQL查詢;
我們可以寫一個(gè)專門用來將字符串進(jìn)行MD5(或其它)加密的方法,在對(duì)密碼進(jìn)行操作時(shí)先加密處理就可以了.(至于MD5加密的處理,我會(huì)在下一篇中貼出來,先申明這不是我寫的.)
這樣即使黑客在輸入密碼時(shí)是使用的"def' OR 1=1--"之類的字符串,我們也會(huì)先將它進(jìn)行字符串加密處理成32位長(zhǎng)度的字符串,然后再做SQL查詢.所以,這樣就能保證系統(tǒng)這部分始終是安全的.
我想可能有部分好鉆研的人,看到這會(huì)想到另一個(gè)問題.可能你也沒有想到.其實(shí)那個(gè)問題就是如果我輸入用戶名的時(shí)候使用"def' OR 1=1--"那會(huì)發(fā)生什么情況呢?
可想而知,那你也可以通過驗(yàn)證,進(jìn)入系統(tǒng)!
My god! 原來我們的系統(tǒng)是這么的不安全!是的,他就是這么的脆弱.
我想說的是,你最好是將解決方法(一)和解決方法(二)都使用起來,至少我是這么做的.
以上是我個(gè)人的見解,可能對(duì)于這部分你還有更好的方法,我希望能有機(jī)會(huì)和你一起來探討這方面的問題.或者其它關(guān)于開發(fā)的問題.如果我所說的有錯(cuò)誤也希望你能批評(píng)指正出來,謝謝.