JSP - prevenire SQL Injection da form

[maddmax]

Ciao a tutti,

premetto che sono nuovo a jsp, anche se circa 7 anni fa ne ho avuto a che fare, quindi qualcosina ricordo....

Sto tentando di cannibilizzare dei tutorial presi iin giro per poter creare una gestione degli accessi a determinate pagine sul server.....

Il problema è che ad ora non ho trovato nessuno che si premonisse da eventuali attacchi di SQL Injection dal form di richiesta dei dati dell'account.. VVoVe: Mi basterebbe eliminare una serie di caratteri non ammessi oppure convertire il testo inserito in un formato html (ad esempio lo spazio convertirlo in %20, il famigerato ' in %27 e così via. Immagino esista una funzione che faccia una cosa del genere, ma francamente non riesco a trovare info in giro.

Qualcuno sa darmi una mano!?!?

Grazie a tutti, ciao!

[maddmax]

Credo di aver trovato uno script Java che può fare al mio caso.

Codice PHP:

function controllaDPost(STRINGA)
{
        if( STRINGA == '' )  return '';
        validi = "0123456789abcdefghilmnopqrstuvzwjx-_ABCDEFGHILMNOPQRSTUVZWJX@";
        for( i = 0; i < 11; i++ ){
                if( validi.indexOf( STRINGA.charAt(i) ) == -1 )
                        return ''
        }
        
        return STRINGA;

} 


Il problema è che questo è uno script ideato per girare lato client, io dovrei integrarlo lato server....

Qualche buon'anima mi da una mano?!?!?

[R@ve M@ster]

Puoi agire in due modi:

1) Per eseguire la query utilizzare i PreparedStatement che risolvono automaticamente problemi del genere anzichè gli Statement (soluzione consigliata).

2) Eseguire un replace dei caratteri speciali sulla stringa che rappresenta la query. Ad esempio:

codice:

String cognome = "d'amico";
//occorre sostituire l'apice con un doppio apice affinchè la stringa sql sia valida
String query = "select * from utenti where cognome = '"+cognome.replaceAll("'","''")+"'";

[maddmax]

ci stavo arrivando, ma ho fatto le prove e mi sembra di non aver risolto niente....

Codice PHP:

PreparedStatement ps = connection.prepareStatement("SELECT * FROM ISCRITTI WHERE username=\"?\" and password=\"?\"");
    try
    {
      ps.setString(1, getUsername());
      ps.setString(2, getPassword());
      ps.executeQuery();
      if(ps.next()) {
               nome = ps.getString("nome");
             cognome = ps.getString("cognome");
             email = ps.getString("email");
             username = ps.getString("username");
             password = ps.getString("password");
             hobby = ps.getString("hobby");
             auth=true; //se l'utente esiste nel database
         } 
    }
    finally
    {
      ps.close();
    } 


Se provo dell'sql injection vedo che i caratteri non vengono filtrati, sbaglio qualcosa nella preparazione della query?

[maddmax]

Ho provato anche ad implementare il replace, ma non mi sembra funzioni...

Codice PHP:

 ps.setString(1, getUsername().replaceAll("'","\"")); 


[maddmax]

ho idea che Tomcat mi faccia felice e gabbato....
Midifico il bean ma non vedo le modifiche fatte, nonstante cancelli le pagine in cache in \work\Catalina\localhost.

Che tu sappia c'è qualche altra chace in giro?

[maddmax]

Ho svelato l'arcano.... Sto lavorando sul sorgente del bean, mi sa che devo compilarlo se voglio farlo funzionare!

Atc!

[simo7784]

Per i PreparedStatement, togli gli apici dalla query e lascia solo ?.

codice:

PreparedStatement ps = connection.prepareStatement("SELECT * FROM ISCRITTI WHERE username=? and password=?");

Ma sei sicuro che non funzioni? Come password dalla jsp passagli pass' or 1=1 e guarda che ti dice.
Per quanto riguarda il replace, la sequenza di escape nell'sql è '' (2 singoli apici) e non " (doppio apice).Quindi

codice:

getUsername().replaceAll("'","\\'\\'")

[maddmax]

Ma io ci divento scemo!?!?!

Mi mostra le modifiche fatte dopo mezz'ora!

dopo aver visto che se modificavo il file utentibean.java non cambiava nulla, ho rimesso tutto come stava ed ho provato a modificare diremttamente il jsp mandando in pasto al bean le variabili ripulite.

Aggiorno la pagina e mi viene fuori una prova che avevo fatto impostato lo username su "prova" per vedere se effettivamente si prendeva le modifiche..

Ma che devo riavviare tomcat ad ogni modifica al bean?

Magnifico, manco windows 95!!!

[simo7784]

Se non usi un ambiente di sviluppo che lo fa per te, temo tu lo debba avviare ad ogni modifica che coinvolge qualcosa che non sia una JSP.