[toc] # 簡介 為了保證java程式的安全，任何外部使用者的輸入我們都認為是可能有惡意攻擊意圖，我們需要對所有的使用者輸入都進行一定程度的校驗。 本文將帶領大家探討一下使用者輸入校驗的一些場景。一起來看看吧。 # 在字串標準化之後進行校驗 通常我們在進行字串校驗的時候需要對一些特殊字元進行過濾，過濾之後再進行字串的校驗。 我們知道在java中字元是基於Unicode進行編碼的。但是在Unicode中，同一個字元可能有不同的表示形式。所以我們需要對字元進行標準化。 java中有一個專門的類Normalizer來負責處理，字元標準化的問題。 我們看下面一個例子： ~~~java public void testNormalizer(){ System.out.println(Normalizer.normalize("\u00C1", Normalizer.Form.NFKC)); System.out.println(Normalizer.normalize("\u0041\u0301", Normalizer.Form.NFKC)); } ~~~ 輸出結果： ~~~java Á Á ~~~ 我們可以看到，雖然兩者的Unicode不一樣，但是最終表示的字元是一樣的。所以我們在進行字元驗證的時候，一定要先進行normalize處理。 考慮下面的例子： ~~~java public void falseNormalize(){ String s = "\uFE64" + "script" + "\uFE65"; Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號 Matcher matcher = pattern.matcher(s); if (matcher.find()) { throw new IllegalStateException(); } s = Normalizer.normalize(s, Normalizer.Form.NFKC); } ~~~ 其中\uFE64表示的是<,而\uFE65表示的是>,程式的本意是判斷輸入的字串是否包含了尖括號，但是因為直接傳入的是unicode字元，所以直接compile是檢測不到的。 我們需要對程式碼進行下面的改動： ~~~java public void trueNormalize(){ String s = "\uFE64" + "script" + "\uFE65"; s = Normalizer.normalize(s, Normalizer.Form.NFKC); Pattern pattern = Pattern.compile("[<>]"); // 檢查是否有尖括號 Matcher matcher = pattern.matcher(s); if (matcher.find()) { throw new IllegalStateException(); } } ~~~ 先進行normalize操作，然後再進行字元驗證。 # 注意不可信字串的格式化 我們經常會使用到格式化來對字串進行格式化，在格式化的時候如果格式化字串裡面帶有使用者輸入資訊，那麼我們就要注意了。 看下面的例子： ~~~java public void wrongFormat(){ Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27); String input=" %1$tm"; System.out.format(input + " 時間不匹配，應該是某個月的第 %1$terd 天", c); } ~~~ 粗看一下沒什麼問題，但是我們的input中包含了格式化資訊，最後輸出結果： ~~~java 07 時間不匹配，應該是某個月的第 27rd 天 ~~~ 變相的，我們獲取到了系統內部的資訊，在某些情況下面，可能會暴露系統的內部邏輯。 上面的例子我們應該將input也作為一個引數，如下所示： ~~~java public void rightFormat(){ Calendar c = new GregorianCalendar(2020, GregorianCalendar.JULY, 27); String input=" %1$tm"; System.out.format("%s 時間不匹配，應該是某個月的第 %terd 天",input, c); } ~~~ 輸出結果： ~~~java %1$tm 時間不匹配，應該是某個月的第 27rd 天 ~~~ # 小心使用Runtime.exec() 我們知道Runtime.exec()使用來呼叫系統命令的，如果有惡意的使用者呼叫了“rm -rf /”,一切的一切都完蛋了。 所以，我們在呼叫Runtime.exec()的時候，一定要小心注意檢測使用者的輸入。 看下面的一個例子： ~~~java public void wrongExec() throws IOException { String dir = System.getProperty("dir"); Runtime rt = Runtime.getRuntime(); Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir}); } ~~~ 上面的例子中，我們從系統屬性中讀取dir，然後執行了系統的ls命令來檢視dir中的內容。 如果有惡意使用者給dir賦值成： ~~~java /usr & rm -rf / ~~~ 那麼系統實際上執行的命令就是： ~~~java sh -c 'ls /usr & rm -rf /' ~~~ 從而導致惡意的刪除。 解決上面的問題也有幾個方法，第一個方法就是對輸入做個校驗，比如我們只執行dir包含特定的字元： ~~~java public void correctExec1() throws IOException { String dir = System.getProperty("dir"); if (!Pattern.matches("[0-9A-Za-z@.]+", dir)) { // Handle error } Runtime rt = Runtime.getRuntime(); Process proc = rt.exec(new String[] {"sh", "-c", "ls " + dir}); } ~~~ 第二種方法就是使用switch語句，限定特定的輸入： ~~~java public void correctExec2(){ String dir = System.getProperty("dir"); switch (dir){ case "/usr": System.out.println("/usr"); break; case "/local": System.out.println("/local"); break; default: break; } } ~~~ 還有一種就是不使用Runtime.exec()方法，而是使用java自帶的方法。 # 正則表示式的匹配 在正則表示式的構建過程中，如果使用使用者自定義輸入，同樣的也需要進行輸入校驗。 考慮下面的正則表示式： ~~~java (.*? +public\[\d+\] +.*.*) ~~~ 上面的表示式本意是想在public[1234]這樣的日誌資訊中，搜尋使用者的輸入。 但是使用者實際上可以輸入下面的資訊： ~~~java .*)|(.* ~~~ 最終導致正則表示式變成下面的樣子： ~~~java (.*? +public\[\d+\] +.*.*)|(.*.*) ~~~ 從而導致匹配所有的日誌資訊。 解決方法也有兩個，一個是使用白名單，判斷使用者的輸入。一個是使用Pattern.quote()來對惡意字元進行轉義。 本文的程式碼： [learn-java-base-9-to-20/tree/master/security](https://github.com/ddean2009/learn-java-base-9-to-20/tree/master/security) > 本文已收錄於 [http://www.flydean.com/java-security-code-line-input/](http://www.flydean.com/java-security-code-line-input/) > > 最通俗的解讀，最深刻的乾貨，最簡潔的教程，眾多你不知道的小技巧等你來發現！ > > 歡迎關注我的公眾號:「程式那些事」,懂技術，更