SQL注入和Mybatis預編譯防止SQL注入

2022-09-15 21:36:19 字數 2925 閱讀 9240

所謂sql注入,就是通過把sql命令插入到web表單提交或頁面請求url的查詢字串,最終達到欺騙伺服器執行惡意的sql命令。具體來說,它是利用現有應用程式,將(惡意)的sql命令注入到後台資料庫引擎執行的能力,它可以通過在web表單中輸入(惡意)sql語句得到乙個存在安全漏洞的**上的資料庫,而不是按照設計者意圖去執行sql語句。

實戰舉例

有個登陸框如下:

可以看到除了賬號密碼之外,還有乙個公司名的輸入框,根據輸入框的形式不難推出sql的寫法如下:

select * from table_name where name=『xx』 and password=『yy』 and corporate=『zz』
怎麼做呢,?

因為沒有校驗,因此,我們賬號密碼,都不填寫,直接在最後,新增 or 1=1 –

看看與上面sql組合,成了如下:

select * from table_name where name=』』 and password=』』 and corporate=』』 or 1=1-』
從**可以看出,前一半單引號被閉合,後一半單引號被 「–」給注釋掉,中間多了乙個永遠成立的條件「1=1」,這就造成任何字元都能成功登入的結果。

重要提醒

不要以為在輸入框做個檢查就夠了,不要忘記了,我們web提交表單,是可以模擬url直接訪問過去,繞開前段檢查。因此,必須是後端,或是資料來檢查才能有效防止。

(1)檢查使用者輸入的合法性;

(2)將使用者的登入名、密碼等資料加密儲存。

(3)預處理sql。

(4)使用儲存過程實現查詢,雖然不推薦,但也是乙個方法。

mybatis框架作為一款半自動化的持久層框架,其sql語句都要我們自己手動編寫,這個時候當然需要防止sql注入。其實,mybatis的sql是乙個具有「輸入+輸出」的功能,類似於函式的結構,如下:

select id,title,author,content


from blog


where id=#
這裡,parametertype表示了輸入的引數型別,resulttype表示了輸出的引數型別。回應上文,如果我們想防止sql注入,理所當然地要在輸入引數上下功夫。上面**中黃色高亮即輸入引數在sql中拼接的部分,傳入引數後,列印出執行的sql語句,會看到sql是這樣的:

select id,title,author,content from blog where id = ?
不管輸入什麼引數,列印出的sql都是這樣的。這是因為mybatis啟用了預編譯功能,在sql執行前,會先將上面的sql傳送給資料庫進行編譯;執行時,直接使用編譯好的sql,替換佔位符「?」就可以了。因為sql注入只能對編譯過程起作用,所以這樣的方式就很好地避免了sql注入的問題。

【底層實現原理】mybatis是如何做到sql預編譯的呢?其實在框架底層,是jdbc中的preparedstatement類在起作用,preparedstatement是我們很熟悉的statement的子類,它的物件包含了編譯好的sql語句。這種「準備好」的方式不僅能提高安全性,而且在多次執行同乙個sql時,能夠提高效率。原因是sql已編譯好,再次執行時無需再編譯。

話說回來,是否我們使用mybatis就一定可以防止sql注入呢?當然不是,請看下面的**:
select id,title,author,content


from blog


where id=$
仔細觀察,內聯引數的格式由「#」變為了「$」。如果我們給引數「id」賦值為「3」,將sql列印出來是這樣的:

select id,title,author,content from blog where id = 3
(上面的對比示例是我自己新增的,為了與前面的示例形成鮮明的對比。)

select id,title,author,content


from blog


order by $
仔細觀察,內聯引數的格式由「#」變為了「$」。如果我們給引數「orderparam」賦值為「id」,將sql列印出來是這樣的:

select id,title,author,content from blog order by id
顯然,這樣是無法阻止sql注入的。在mybatis中,「$」這樣格式的引數會直接參與sql編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用「$」這樣的引數格式。所以,這樣的引數需要我們在**中手工進行處理來防止注入。

【結論】在編寫mybatis的對映語句時,盡量採用「#」這樣的格式。若不得不使用「$」這樣的引數,要手工地做好過濾工作,來防止sql注入攻擊。

#{}:相當於jdbc中的preparedstatement


${}:是輸出變數的值
簡單說,#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在sql注入。如果我們order by語句後用了${},那麼不做任何處理的時候是存在sql注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的引數的長度是否正常(注入語句一般很長),更精確的過濾則可以查詢一下輸入的引數是否在預期的引數集合中。

預編譯sql處理 防止sql注入

建立資料庫 create database jdbc demo default character set utf8 i 建立表 use jdbc demo create table admin id int primary key auto increment,username varchar 2...

mybatis防止sql注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式 所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全 性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲...

mybatis防止sql注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如 or 1 1 這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比如銀行軟體,經常使用將sql語句全部替換為儲存...