【腾讯云代码分析】经典案例分享：SQL注入漏洞 #1096

xiohuang9 · 2024-06-20T08:43:59Z

xiohuang9
Jun 20, 2024
Maintainer

规则介绍

SQL注入漏洞是一种常见的Web应用程序安全漏洞，攻击者可以通过构造特殊的输入，将恶意的SQL代码注入到Web应用程序中，从而导致数据泄露、篡改或删除等安全问题。
下列案例对应代码分析TCA-Armory-L工具中的规则：sqli——检测代码中可能存在的SQL注入漏洞，并提供警告或建议修复的信息。

经典案例

代码案例

protected AttackResult injectableQuery(String accountName) {
    String query = "";
    try (Connection connection = dataSource.getConnection()) {
        query = "SELECT * FROM user_data WHERE first_name = 'John' and last_name = '" + accountName + "'";
        try (Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE, ResultSet.CONCUR_UPDATABLE)) {
            ResultSet results = statement.executeQuery(query);
            // Do something...
        }
    }
}

问题解析
这段代码存在SQL注入漏洞。漏洞的原因是在构造SQL查询语句时，直接将用户输入的 accountName 拼接到SQL语句中，没有进行任何验证或过滤。攻击者可以通过构造特殊的 accountName 值，将恶意的SQL代码注入到查询语句中，从而导致数据泄露、篡改或删除等安全问题。
例如，如果攻击者将accountName设置为Doe' OR '1' = '1，那么构造的SQL查询语句将变为：

SELECT * FROM user_data WHERE first_name = 'John' and last_name = 'Doe' OR '1' = '1'

这个查询语句将返回user_data表中所有的记录，因为'1' = '1'总是为真。这显然是不符合预期的行为，可能导致数据泄露。

AI修复建议

验证用户输入：对用户输入进行严格的验证，确保输入符合预期的格式和范围。
过滤特殊字符：对用户输入进行过滤，去除可能导致SQL注入的特殊字符，如单引号、双引号、分号等。

使用预编译SQL语句：使用预编译SQL语句，将用户输入作为参数传递给SQL语句，而不是直接将用户输入拼接到SQL语句中。这样可以避免用户输入被解释为SQL代码，从而防止SQL注入漏洞。

 protected AttackResult injectableQuery(String accountName) {
     String query = "SELECT * FROM accounts WHERE account_name = ?";
     try (Connection connection = dataSource.getConnection()) {
         PreparedStatement preparedStatement = connection.prepareStatement(query);
         preparedStatement.setString(1, accountName);
         ResultSet results = preparedStatement.executeQuery();
 
         if ((results != null) && (results.first())) {
             ResultSetMetaData resultsMetaData = results.getMetaData();
             StringBuilder output = new StringBuilder();
             // ... 其他代码
         }
     } catch (SQLException e) {
         // 异常处理
     }
     // 返回结果或其他操作
 }

规则使用说明

规则添加
进入页面，点击方案->规则配置 -> 自定义规则包-> 添加规则 ->搜索规则名sqli->选择需要添加的规则 ->批量添加规则

规则包选择
可以直接选择添加对应语言的强化安全规则包

联系我们

欢迎访问我们的平台：腾讯云代码分析
使用文档：腾讯云代码分析帮助文档
持续为您的代码助力！
扫描可进开源群畅聊技术&答疑解惑

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

【腾讯云代码分析】经典案例分享：SQL注入漏洞 #1096

Uh oh!

{{title}}

Uh oh!

Replies: 0 comments

Select a reply

Uh oh!

【腾讯云代码分析】经典案例分享：SQL注入漏洞 #1096

Uh oh!

xiohuang9 Jun 20, 2024 Maintainer

规则介绍

经典案例

规则使用说明

联系我们

Replies: 0 comments

xiohuang9
Jun 20, 2024
Maintainer