Mybatis检查SQL注入[通俗易懂]

Mybatis检查SQL注入[通俗易懂]Mybatis 的 Mapper.xml 语句中 parameterType 向SQL语句传参有两种方式: { } 和 ${ }。 使用 { }是来防止SQL注入,使用${ }是用来动态拼接参数。

Mybatis检查SQL注入

Mybatis 的 Mapper.xml 语句中 parameterType 向SQL语句传参有两种方式:#{ } 和 ${ }。

使用#{ }是来防止SQL注入,使用${ }是用来动态拼接参数。

如何排查出

1. 检查是否有$号

如果你使用的是ide代码编辑器,那么可以通过全局搜索${ , 快速定位到使用${ }拼接SQL的语句,在去找到外部传入参数的入口,闭合sql证明即可。

2. 检查是否有order by语句

同样的在搜索是否使用order by排序语句,如果有一步一步追踪是否有外部参数,未过滤就直接传递到order by语句里面来。

为什么#{ }就安全

#{ } 就类似JDBC的预编译,所以安全。类似如下SQL语句:(JDBC预编译的原理,希望后面能专门去研究一下,并写博文)

  • 使用 ${ }效果是:
select * from testtable where id="1" or true or id  # 1后面就是被攻击者恶意构造的字符

代码100分

Mybatis检查SQL注入[通俗易懂]

  • 而使用#{ } 的效果是:
代码100分select * from testtable where id="1" or true or id""         # 1后面就是被攻击者恶意构造的字符

Mybatis检查SQL注入[通俗易懂]

什么情况下用不了#{}

答案是:在order by 排序语句的情况下不行,为什么?

先复习一下order by的用法

order by就是一个排序的工具。

# 这个1就是指第一个列索引,也可以写id (列索引)
select * from testtable ORDER BY 1 ASC #ASC表示按升序排序,DESC表示按降序排序

# 两个代码是一样的
select * from testtable ORDER BY id ASC #ASC表示按升序排序,DESC表示按降序排序

Mybatis检查SQL注入[通俗易懂]

对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。

代码100分<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student order by #{column}
</select>

<!--编译出来的结果如下:-->
select * from table order by "column"

Mybatis检查SQL注入[通俗易懂]

会发现加上“” 双引号符号后,就没法正常排序了。

如何解决:
使用${},MyBatis就不会修改或转义改字符串。但是这样又不安全,会导致潜在的SQL注入攻击。所以我们需要自己去限制,不允许用户输入一些非法字段,通常只使用白名单方式校验。

总结

即使是安全的sql预编译技术,也是有适用范围的,一些应用场景也是不适用的。当我们在做黑盒或者审计的时候,碰到了预编译处理不了的场景,比如说排序功能的时候就得格外注意了,不然被人order by注入就悲剧了。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
转载请注明出处: https://daima100.com/9233.html

(0)
上一篇 2023-02-12 19:00
下一篇 2023-02-12

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注