SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给大家一些思路。
MyBatis支持两种参数符号,一种是#,另一种是$。
使用参数符号#的句子:
# 会把传入的数据都当成一个字符串来处理,也就是说会给传入的数据加一个双引号。
相当于使用PreparedStement接口来对占位符来进行赋值操作。
使用参数符号$的句子:
把传入的数据直接拼接在sql语句中,不会添加双引号
相当于使用StringBuffer的append方法将传入的数据直接拼接到sql语句中
简单说,#{}是经过预编译的,是安全的;而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
有些情况下mybatis框架是无法使用预编译语句的,或者使用时需要注意特定方式。如不注意则极易产生SQL注入。
主要分为以下三种:
1、模糊查询 like
如果采用以下方式会报错:
like '%#{参数}%'
因为#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上双引号。
而采用以下方法则会正常执行:
like '%${参数}$'
但是:
#{}是经过预编译的,是安全的。
而${}是未经过预编译的,是非安全的,可能存在SQL注入。
解决方法:
<1>连接字符串,使用concat函数或者双引号
like concat(concat('%',#{参数}),'%')
like "%"#{参数}"%"
<2>若一定使用${}方式,即 like '%${参数}$',则需注意对用户输入做校验和过滤
2、in之后的多个参数
select * from s_room where place_id in (#{inSql})
#{}会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。比如传入'110','111','112',会被处理为
select * from s_room where place_id in ("'110','111','112'") ,
即将'110','111','112'这个整体当作了字符串来处理的。
解决方法:
<1>使用foreach标签
select * from s_room where place_id in
<foreach collection='list' item='item' index='index' open='(' close=','separator=')'>
#{item}
</foreach>
可以发现,sql语句被解析为select * from s_room where place_id in ( ? , ? , ? ) ,也就是说,集合中的每个元素都各自被一个占位符替代,然后通过foreach函数和#{}对占位符进行赋值,因此sql语句得以正确执行。
<2>使用${}代替#{}:
${}则是把传入的数据直接拼接在sql语句中,不会添加双引号。如下,传入'110','111','112',则:
select * from s_room where place_id in ('110','111','112')
但是${}会引起sql注入的问题,需注意对用户输入做校验和过滤
3、order by
select * from t2 order by $ {ORDER_BY}
select * from t2 order by # {ORDER_BY}
外部定义是:
private static final String ORDER_BY = "value";
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号
select * from t2 order by "value"
因为当order by后是字符串,MySQL会认为根据一个常量列排序, 而常量列所有值都相等,所以也就不会排序,导致排序失效。
因此Mybatis中使用Order By时一定使用$符号,才能正常执行order by排序操作。
select * from t2 order by value
因为使用错误也不会报错,因此可能不容易发现。
另外如果表名是参数,也要用$符,因为表名不允许使用引号,直接就会报语法错误
使用$要注意对用户输入做校验和过滤
总结
<1>能用 #{} 的地方就用 #{},不用或少用 ${}
<2>表名作参数时,必须用 ${}。如:select * from ${tableName}
<3>order by 时,必须用 ${}。如:select * from t_user order by ${columnName}
<4>like、in后跟多参数时,注意${}的正确使用方式