Java 中 SQL 注入问题剖析​

一、引言​

在当今数字化时代，数据是企业和组织的核心资产之一。许多应用程序都依赖于数据库来存储和管理数据，而 Java 作为一种广泛使用的编程语言，常被用于开发与数据库交互的应用程序。然而，SQL 注入这一安全漏洞却如同隐藏在暗处的炸弹，时刻威胁着这些应用程序的数据安全。​

二、SQL 注入的原因​

2.1 拼接 SQL 语句​

在 Java 应用程序中，当开发人员直接将用户输入的数据拼接到 SQL 语句中时，就为 SQL 注入攻击埋下了隐患。以下是一个简单的示例代码：​

import java.sql.Connection;​

import java.sql.DriverManager;​

import java.sql.ResultSet;​

import java.sql.Statement;​

import java.util.Scanner;​

​

public class SQLInjectionExample {​

public static void main(String[] args) {​

try {​

Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/testdb", "root", "password");​

Scanner scanner = new Scanner(System.in);​

System.out.println("请输入用户名:");​

String username = scanner.nextLine();​

System.out.println("请输入密码:");​

String password = scanner.nextLine();​

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";​

Statement stmt = conn.createStatement();​

ResultSet rs = stmt.executeQuery(sql);​

if (rs.next()) {​

System.out.println("登录成功");​

} else {​

System.out.println("登录失败");​

}​

rs.close();​

stmt.close();​

conn.close();​

} catch (Exception e) {​

e.printStackTrace();​

}​

}​

}​

​

在上述代码中，用户输入的用户名和密码直接被拼接到 SQL 语句中。如果攻击者输入恶意的 SQL 代码，就可能改变原 SQL 语句的语义。​

2.2 缺乏输入验证​

当应用程序没有对用户输入进行严格的验证和过滤时，攻击者可以轻松地输入恶意的 SQL 代码。例如，在上述登录示例中，如果用户输入的密码为' OR '1'='1，那么最终生成的 SQL 语句将变为：​

SELECT * FROM users WHERE username = 'xxx' AND password = '' OR '1'='1'​

​

由于'1'='1'始终为真，这个 SQL 语句将返回users表中的所有记录，攻击者就可以绕过正常的身份验证机制登录系统。​

三、SQL 注入的种类​

3.1 基于字符串的注入​

这是最常见的 SQL 注入类型之一。在这种注入方式中，攻击者利用应用程序对字符串输入处理不当的漏洞。例如，在前面提到的 Java 登录示例中，如果输入的用户名或密码字段没有正确处理，攻击者输入类似' OR '1'='1 --的字符串。其中，OR '1'='1用于改变 SQL 语句的逻辑，使其永远为真，而--是 SQL 中的注释符号，用于注释掉后面可能存在的 SQL 语句部分，从而达到绕过验证或获取非法数据的目的。​

3.2 数字型注入​

当应用程序期望用户输入数字，并将其直接用于 SQL 查询时，容易发生数字型注入。例如，SQL 语句可能是SELECT * FROM products WHERE product_id = + userInput。如果攻击者输入1 OR 1=1，则最终的 SQL 语句变为SELECT * FROM products WHERE product_id = 1 OR 1=1。由于1=1恒为真，该查询将返回products表中的所有记录。​

3.3 布尔盲注​

布尔盲注发生在应用程序对 SQL 查询结果的反馈只有两种状态（通常是真或假，比如页面显示正常或错误）的情况下。攻击者通过构造不同的 SQL 注入语句，根据应用程序返回的不同状态来推断数据库中的信息。例如，攻击者可以构造这样的注入语句' AND (SELECT COUNT(*) FROM users WHERE username = 'admin') > 0 --，如果返回的页面状态表示条件为真，那么就可以推断出数据库中存在名为admin的用户。攻击者不断改变注入语句中的条件，通过多次尝试来逐步获取数据库中的数据。​

3.4 时间盲注​

时间盲注利用了数据库执行特定操作时的时间延迟来推断信息。当应用程序对 SQL 查询结果没有直接的反馈信息时，攻击者可以通过让数据库执行一些耗时操作，根据操作执行的时间来判断注入语句是否成功。例如，在 MySQL 数据库中，攻击者可以使用' AND SLEEP(5) --这样的注入语句，如果数据库执行该语句后页面延迟了 5 秒加载，就说明该注入语句可能被成功执行，攻击者可以通过类似的方式逐步推断数据库中的数据。​

3.5 联合查询注入​

联合查询注入允许攻击者在原有的 SQL 查询基础上添加额外的查询语句。例如，假设原 SQL 语句是SELECT name, age FROM users WHERE user_id = + userInput。攻击者输入1 UNION SELECT database(), version() --，那么最终的 SQL 查询将变成SELECT name, age FROM users WHERE user_id = 1 UNION SELECT database(), version()。这样攻击者就可以获取数据库的名称和版本等信息。​

四、相关SQL注入的事件​

4.1 美国零售商塔吉特（Target）数据泄露事件​

2013 年，美国零售商塔吉特遭遇了严重的 SQL 注入攻击。攻击者通过入侵塔吉特的支付系统，获取了约 4000 万张信用卡信息和 7000 万客户的个人信息。此次攻击导致塔吉特公司遭受了巨大的经济损失，包括赔偿客户、修复系统漏洞等费用，同时也严重损害了公司的声誉。​

4.2 索尼 PlayStation Network 数据泄露事件​

2011 年，索尼的 PlayStation Network 遭受了 SQL 注入攻击，导致约 7700 万用户的个人信息泄露，包括姓名、地址、出生日期、电子邮件地址等。此次攻击导致 PlayStation Network 服务中断数周，给索尼公司带来了巨大的经济损失和声誉损害。​

五、SQL 注入导致的问题​

4.1 数据泄露​

攻击者可以通过 SQL 注入漏洞获取数据库中的敏感信息，如用户的账号密码、信用卡号、个人身份信息等。这些信息一旦泄露，可能会给用户和企业带来巨大的损失。​

4.2 数据篡改​

攻击者可以利用 SQL 注入漏洞修改数据库中的数据，例如修改用户的账户余额、订单状态等。这不仅会影响企业的正常运营，还可能导致法律纠纷。​

4.3 数据库损坏​

在某些情况下，攻击者可以通过 SQL 注入执行删除数据库表、删除数据库等操作，导致数据库无法正常使用，给企业带来严重的经济损失。​

六、预防 SQL 注入的方法​

6.1 使用预编译语句（PreparedStatement）​

预编译语句是预防 SQL 注入的最有效方法之一。在 Java 中，PreparedStatement接口会对 SQL 语句进行预编译，将用户输入的数据作为参数进行处理，而不是直接拼接到 SQL 语句中。以下是使用PreparedStatement改写后的登录示例代码：​

​

TypeScript

取消自动换行复制

import java.sql.Connection;​

import java.sql.DriverManager;​

import java.sql.PreparedStatement;​

import java.sql.ResultSet;​

import java.util.Scanner;​

​

public class SecureLoginExample {​

public static void main(String[] args) {​

try {​

Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/testdb", "root", "password");​

Scanner scanner = new Scanner(System.in);​

System.out.println("请输入用户名:");​

String username = scanner.nextLine();​

System.out.println("请输入密码:");​

String password = scanner.nextLine();​

String sql = "SELECT * FROM users WHERE username =? AND password =?";​

PreparedStatement pstmt = conn.prepareStatement(sql);​

pstmt.setString(1, username);​

pstmt.setString(2, password);​

ResultSet rs = pstmt.executeQuery();​

if (rs.next()) {​

System.out.println("登录成功");​

} else {​

System.out.println("登录失败");​

}​

rs.close();​

pstmt.close();​

conn.close();​

} catch (Exception e) {​

e.printStackTrace();​

}​

}​

}​

​

在这个代码中，?是占位符，用户输入的数据会被安全地设置到占位符位置，数据库驱动会自动处理数据的转义等操作，从而有效防止 SQL 注入。​

6.2 输入验证与过滤​

除了使用预编译语句，对用户输入进行严格的验证和过滤也是必不可少的。可以使用正则表达式等方式验证用户输入是否符合预期的格式。例如，对于用户名，可以限制只能包含字母和数字：​

​取消自动换行复制

import java.util.regex.Pattern;​

​

public class InputValidation {​

public static boolean isValidUsername(String username) {​

String pattern = "^[A-Za-z0-9]+$";​

return Pattern.matches(pattern, username);​

}​

}​

​对于密码等敏感信息，也可以设置强度要求，并进行验证。同时，要过滤掉用户输入中的特殊字符，如单引号、双引号、分号等可能用于 SQL 注入的字符。但需要注意的是，输入验证和过滤不能完全替代预编译语句，它只是作为一种额外的安全措施。​

6.3 最小权限原则​

在数据库中，为应用程序使用的数据库用户分配最小的权限。例如，如果应用程序只需要读取某些表的数据，那么就只赋予该用户对这些表的SELECT权限，而不给予INSERT、UPDATE、DELETE等其他不必要的权限。这样即使发生 SQL 注入攻击，攻击者也无法执行修改或删除数据等危险操作。​

6.4 安全框架与工具的使用​

利用成熟的安全框架，如 Spring Security 等，这些框架提供了一系列的安全功能，包括防止 SQL 注入的机制。同时，使用静态代码分析工具，如库博静态代码分析工具等，它们可以在开发过程中检测代码中潜在的 SQL 注入风险，帮助开发人员及时发现和修复问题。​

七、结论​

SQL 注入是一种严重的安全漏洞，它可能会给企业和用户带来巨大的损失。在 Java 开发中，开发人员应该避免直接拼接 SQL 语句，而是使用预编译语句（PreparedStatement）来防止 SQL 注入。同时，要对用户输入进行严格的验证和过滤，遵循最小权限原则，并合理使用安全框架与工具。通过采取这些措施，可以有效降低 SQL 注入攻击的风险，保护企业和用户的数据安全。为了更好地发现软件代码中SQL注入的问题，可以采用静态代码审计提前发现问题，及时解决，防止软件上线后被不法分子攻击。由北京北大软件工程股份有限公司自主研制开发的库博静态代码分析工具可以在不运行软件代码的情况下，对代码中各类SQL注入问题进行自动化检测，发现问题，并提供解决方案，进一步保障企业和用户的数据安全。