SQL注入漏洞解决方法

本文只指针编码层次的SQL注入漏洞解决方法，例子代码是以java为主。

1，参数化的预编译查询语句

不安全例子

 String query = "SELECT account_balance FROM user_data WHERE user_name = "
   + request.getParameter("customerName");

 try {
     Statement statement = connection.createStatement( … );
     ResultSet results = statement.executeQuery( query );
 }

防止通过参数传不安全值，必须使用参数化的预编译查询语句

 String custname = request.getParameter("customerName"); // This should REALLY be validated too
 // perform input validation to detect attacks
 String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";

 PreparedStatement pstmt = connection.prepareStatement( query );
 pstmt.setString( 1, custname);
 ResultSet results = pstmt.executeQuery( );

2，输入参数验证白名单

不建议将SQL语句关键部分作参数传递，如表名、字段名或排序符（ASC、DESC）等。建议设计通过标识来判断，如以下例子

 String tableName;
 switch(PARAM):
   case "Value1": tableName = "fooTable";
                  break;
   case "Value2": tableName = "barTable";
                  break;
     ...
   default      : throw new InputValidationException("unexpected value provided for table name");

用户输入可以转换为非String，如日期，数字，布尔值，枚举类型等等，然后再附加到查询中，或者用于选择附加到查询的值，这样可以确保它是安全的。

 public String someMethod(boolean sortOrder) {

 String SQLquery = "some SQL ... order by Salary " + (sortOrder ? "ASC" : "DESC");
 ...

3，转义所有用户输入

这种技术只能作为最后的手段，当上述手段都不可行时。因为这种方法与其他防御相比是虚弱的，输入验证可能是一个更好的选择。我们不能保证在所有情况下都会阻止所有SQL注入。只推荐在旧系统中使用输入参数验证成本高时使转义所有用户输入，新写系统或重构系统当然使参数化的预编译查询语句和输入参数验证。每种数据库的转义大不相同，具体参考ESAPI are available here on OWASP。例子是ORACLE下转义所有用户输入

Codec ORACLE_CODEC = new OracleCodec();
 String query = "SELECT user_id FROM user_data WHERE user_name = '" +
   ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("userID")) + "' and user_password = '"
   + ESAPI.encoder().encodeForSQL( ORACLE_CODEC, req.getParameter("pwd")) +"'";

4，其它方法

设置程序使用的数据库帐号最少权限，或者使用不的帐号赋于它们对应的权限。

参与资料

SQL Injection Prevention Cheat Sheet