oralce sql注入演示与防范.pdfVIP

SQL 注入演示 2015 年5 月1 日 9:25 本意是想取aac004 的代码值,但是已经将全表数据取出 正确的处理:使用绑定变量 涉及信息变更后需要记录修改前和修改后的值（由于是通用的，所以需要动态sql ）： update 注入: 我想c1=T001行的n1 的值改成201501 结果确实修改了 如果输入是将会发生什么？ 将发生数据篡改： 如果修改了where 条件将发生什么？ 你会很惊奇的发现，完蛋了 如果被注入了-- 有将发生什么 你会很惊奇的发现，完蛋了 where 条件被注释，将是全部更新 如果动态表名是不可避免的，那么表名一定不能是界面传入的内容， 必须由条件去取值，需要更新的column 和where 条件中的column 必须要做检查只能是我 们更新表中的字段,必须完全一致。 参数采用绑定变量 --测试update 的注入 PROCEDURE testupdate(prm_tablename in VARCHAR2, prm_columnname in VARCHAR2, prm_columnvalue in VARCHAR2, prm_wherecolname in VARCHAR2, prm_wherecolval in VARCHAR2, Prm_AppCode OUT VARCHAR2, Prm_ErrorMsg OUT VARCHAR2) IS sqlstr VARCHAR2(1000); BEGIN --错误 /* sqlstr := update ||prm_tablename|| || set ||prm_columnname||=||prm_columnvalue|| where ||prm_wherecolname||=|| prm_wherecolval; */ --正确的做法是 --1.配置表中配置可以修改的字段，where 条件的字段 --2.检查prm_columnname 中是否是配置中的字段 --3.检查where 中的字段是否是配置表的字段 --4.采用绑定变量 sqlstr := update ||prm_tablename|| || set ||prm_columnname||=:1|| where ||prm_wherecolname||=:2; EXECUTE IMMEDIATE sqlstr using prm_columnvalue,prm_wherecolval; Prm_AppCode:=SQL%ROWCOUNT; END testupdate; 利用utl_http 拖数据 public class ToServlet extends HttpServlet { public ToProvideGzServlet() { super(); } public void destroy() { super.destroy(); // Just puts destroy string in log // Put your code here } public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { System.out.println(进入doGet 方法); String aa =request.getParameter(aa); System.out.println(aa:+aa); response.setContentType