{"id":30999,"date":"2024-12-09T14:13:29","date_gmt":"2024-12-09T13:13:29","guid":{"rendered":"https:\/\/www.codemotion.com\/magazine\/?p=30999"},"modified":"2025-02-06T12:15:41","modified_gmt":"2025-02-06T11:15:41","slug":"scrivere-codice-sicuro-la-guida-essenziale-per-gli-sviluppatori-java","status":"publish","type":"post","link":"https:\/\/www.codemotion.com\/magazine\/it\/cybersecurity-it\/scrivere-codice-sicuro-la-guida-essenziale-per-gli-sviluppatori-java\/","title":{"rendered":"Scrivere codice sicuro: la guida essenziale per gli sviluppatori java – Parte 1"},"content":{"rendered":"\n

La sicurezza del codice non \u00e8 un optional: \u00e8 una responsabilit\u00e0 essenziale di ogni sviluppatore. Questo articolo inaugura una serie dedicata a come scrivere codice sicuro<\/strong>, affrontando una delle minacce pi\u00f9 diffuse e pericolose nello sviluppo di applicazioni: le SQL Injection<\/strong>.<\/p>\n\n\n\n

Cos’\u00e8 una SQL Injection?<\/strong><\/h2>\n\n\n\n

La SQL Injection<\/strong> \u00e8 un attacco in cui un utente malintenzionato manipola le query SQL inviate a un database attraverso input non controllati.<\/p>\n\n\n\n

Questo avviene quando l’applicazione non valida correttamente i dati forniti dall’utente e consente a query malevole di essere eseguite, senza quindi alcun controllo su di esse, con conseguenze potenzialmente devastanti.<\/p>\n\n\n\n

Cosa pu\u00f2 succedere in caso di SQL Injection?<\/strong><\/h3>\n\n\n\n
    \n
  1. Accesso non autorizzato ai dati<\/strong>: Gli attaccanti possono ottenere informazioni sensibili, come credenziali, dati personali o aziendali.<\/li>\n\n\n\n
  2. Manipolazione o cancellazione di dati<\/strong>: Una query malevola potrebbe alterare o eliminare dati cruciali.<\/li>\n\n\n\n
  3. Compromissione del sistema<\/strong>: In alcuni casi, l’attaccante pu\u00f2 eseguire comandi di sistema attraverso query SQL.<\/li>\n\n\n\n
  4. Impatto legale e reputazionale<\/strong>: La violazione di dati personali pu\u00f2 portare a sanzioni (es. GDPR) e alla perdita di fiducia da parte degli utenti.<\/li>\n<\/ol>\n\n\n\n

    Esempio di SQL Injection<\/strong><\/h2>\n\n\n\n

    Consideriamo un codice vulnerabile a SQL Injection:<\/p>\n\n\n

    String<\/span> username = request.getParameter(\"username\"<\/span>);\nString<\/span> password = request.getParameter(\"password\"<\/span>);\n\nString<\/span> query = \"SELECT * FROM users WHERE username = '\"<\/span> + username + \"' AND password = '\"<\/span> + password + \"'\"<\/span>;\n\nStatement stmt = connection.createStatement();\nResultSet rs = stmt.executeQuery(query);\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    Se un utente inserisce come username<\/code>:<\/p>\n\n\n
    ' OR '<\/span>1<\/span>'='<\/span>1<\/span>\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    La query risultante diventa:<\/p>\n\n\n
    SELECT * FROM users WHERE username = ''<\/span> OR '1'<\/span>='1'<\/span> AND password = ''<\/span>\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    Questa condizione sar\u00e0 sempre vera, permettendo l’accesso non autorizzato in quanto la condizione ‘1’=’1′ \u00e8 sempre vera e  di conseguenza tutte le condizioni che sono scritte prima o dopo questa OR clause<\/em> sono inutili, pertanto \u00e8 stato rotto il meccanismo di controllo su username e password, in questo caso.<\/p>\n\n\n\n
    Come prevenire le SQL Injection in Java<\/a><\/strong><\/h2>\n\n\n\n
    1. Usa Prepared Statements<\/strong><\/h4>\n\n\n\n
    I Prepared Statements<\/strong> (o query parametrizzate) evitano che l’input dell’utente venga interpretato come parte del codice SQL.<\/p>\n\n\n\n
    Esempio corretto:<\/p>\n\n\n
    String<\/span> query = \"SELECT * FROM users WHERE username = ? AND password = ?\"<\/span>;\nPreparedStatement pstmt = connection.prepareStatement(query);\n\npstmt.setString(1<\/span>, username);\npstmt.setString(2<\/span>, password);\n\nResultSet rs = pstmt.executeQuery();\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    In questo caso, qualsiasi input verr\u00e0 trattato come dato e non come comando SQL.<\/p>\n\n\n\n
    2. Usa ORM (Object Relational Mapping)<\/strong><\/h4>\n\n\n\n
    Framework come Hibernate<\/strong> o JPA<\/strong> astraggono le query SQL, riducendo il rischio di SQL Injection.<\/p>\n\n\n\n
    Esempio con Hibernate:<\/p>\n\n\n
    User user = session.createQuery(\"FROM User WHERE username = :username AND password = :password\"<\/span>, User.class)\n                   .setParameter(\"username\"<\/span>, username)\n                   .setParameter(\"password\"<\/span>, password)\n                   .uniqueResult();\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    3. Valida l’input<\/strong><\/h4>\n\n\n\n
    Non fidarti mai dell’input dell’utente. Utilizza librerie per la validazione (es. Apache Commons Validator) e limita i caratteri consentiti.<\/p>\n\n\n\n
    Esempio:<\/p>\n\n\n
    if<\/span> (!username.matches(\"[a-zA-Z0-9_]+\"<\/span>)) {\n    throw<\/span> new<\/span> IllegalArgumentException(\"Username contiene caratteri non validi.\"<\/span>);\n}\n<\/code><\/span>Code language:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\n
    4. Configura correttamente il database<\/strong><\/h4>\n\n\n\n
    Un database configurato correttamente pu\u00f2 limitare i danni di un attacco SQL Injection:<\/p>\n\n\n\n