1. 安全编码的基本原则平时开发中要养成安全意识,建立攻击者思维,编写可靠健壮的代码
- 外部输入都是不安全的,需严格校验;
- 要建立防御性编程的策略;
- 避免程序内部的处理流程暴露到外部环境;
- 尽量减少代码的攻击面,避免与环境过多的交互,代码尽量简单;
SQL注入是直接使用了外部不可信的数据进行SQL拼接,导致与预期不同的查询。
对SQL注入防范最有效的措施是使用参数化查询。
1. 参数化查询
错误案例: 直接不安全的外部数据进行拼接SQL
Statement stmt = null;
ResultSet rs = null;
try {
String sql = "SELECT * FROM user where username = '" + username + "AND password = '" + password + "'";
stmt = conn.createStatement();
rs = stmt.executeQuery(sql);
// 其他处理
} catch (Exception e) {
// 省略
}
假如输入的username是user,同时password是
passwd' OR 'a' = 'a
那么查询语句将变为:
SELECT * FROM user where username = 'user' AND password = 'passwd' OR 'a' = 'a'
使得攻击者绕过整个限制条件。
正确案例: 使用(PreparedStatement)
PreparedStatement stmt = null;
ResultSet rs = null;
Connection conn = null;
try {
String sql = "SELECT * FROM user where username = ? AND password = ?";
stmt = conn.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);
rs = stmt.executeQuery(sql);
// 其他处理
} catch (Exception e) {
}
MyBatis中SQL映射可通过#指定动态参数,在创建参数化查询时将替换为占位符。
但MyBatis也允许使用$符直接拼接SQL,这种做法存在SQL注入漏洞。
2. 防止SQL注入还可以通过对不可信数据进行转码。
向他们传递的参数如果包含&、&&、空格、双引号、斜杠、管道、重定向等,可能会导致参数注入。
必须对输入参数进行检查及净化。
对外部传入的数据,需进行白名单净化,可过滤非字母/数字/空格/单引号等字符,之后方可用于构造正则,防止正则注入。
正确实例:
public static void find(String regex) {
StringBuilder sb = new StringBuilder();
for(int i=0; i< regex.length(); i++) {
char c = regex.charAt(i);
if (Character.isLetterOrDigit(c) || c == ' ' || c == '\'') {
sb.append(c);
}
}
String perfied = sb.toString();
Pattern pattern = Pattern.compile(perfied);
}
class Parent {
protected void doSomething() {
// do some logical
}
}
class child extends Parent {
public void doSomething() {
// do some logical
}
}
子类child覆写了基类的方法,并增加了可访问性。
任何child的使用者均可调用此方法,不是好的编码习惯。
加减乘除及求绝对值都有可能导致溢出,运算前需进行足够的判断。
也可使用Math.*Exact静态方法,如果出现出现溢出会抛出ArithmeticException异常。
敏感异常包括:
| 异常类型 | 信息泄露 |
|---|---|
| FileNotFoundException | 泄露文件系统信息 |
| SQLException | 泄露数据库结构 |
| BindException | 泄露服务器端口信息 |
| JarException | 泄露文件系统结构 |
| MissingResourceException | 资源列举攻击 |
| NotOwnerException | 所有人列举 |
| InsufficientResourcesException | 服务器资源不足,可能有利于Dos攻击 |
不要使用私有加密算法,使用经过验证、公开、安全的加密算法。
推荐的对称加密算法:AES
推荐的非对称加密算法:RSA(GCM模式)
推荐的数字签名算法:DSA、ECDSA
推荐直接使用synchronized,如果使用Lock接口,解锁放到finally中。
子类与父类的class对象完全不同,getClass返回的对象具有不确定性。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)