【代码审计】-Mybatis框架使用不当导致的SQL注入问题

最新推荐文章于 2024-05-31 08:28:32 发布
最新推荐文章于 2024-05-31 08:28:32 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: 日常学习 文章标签: mybatis sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apearapeach/article/details/127281149
版权

        SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给大家一些思路。

MyBatis支持两种参数符号,一种是#,另一种是$。

使用参数符号#的句子:

# 会把传入的数据都当成一个字符串来处理,也就是说会给传入的数据加一个双引号。

相当于使用PreparedStement接口来对占位符来进行赋值操作。

使用参数符号$的句子:

把传入的数据直接拼接在sql语句中,不会添加双引号

相当于使用StringBuffer的append方法将传入的数据直接拼接到sql语句中

简单说,#{}是经过预编译的,是安全的;而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

有些情况下mybatis框架是无法使用预编译语句的,或者使用时需要注意特定方式。如不注意则极易产生SQL注入。

主要分为以下三种:

1、模糊查询 like

如果采用以下方式会报错:

like '%#{参数}%'

因为#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上双引号。

而采用以下方法则会正常执行:

like '%${参数}$'

但是:

#{}是经过预编译的,是安全的。

而${}是未经过预编译的,是非安全的,可能存在SQL注入。

解决方法:

<1>连接字符串,使用concat函数或者双引号

like concat(concat('%',#{参数}),'%')

like "%"#{参数}"%"

<2>若一定使用${}方式,即 like '%${参数}$',则需注意对用户输入做校验和过滤

2、in之后的多个参数

select * from s_room where place_id in (#{inSql})

#{}会把传入的数据都当成一个字符串来处理,会在传入的数据上面加一个双引号来处理。比如传入'110','111','112',会被处理为

 select * from s_room where place_id in ("'110','111','112'") ,

即将'110','111','112'这个整体当作了字符串来处理的。

解决方法:

<1>使用foreach标签
 

select * from s_room where place_id in

    <foreach collection='list' item='item' index='index' open='(' close=','separator=')'>

#{item}

</foreach>

可以发现,sql语句被解析为select * from s_room where place_id in ( ? , ? , ? ) ,也就是说,集合中的每个元素都各自被一个占位符替代,然后通过foreach函数和#{}对占位符进行赋值,因此sql语句得以正确执行。

<2>使用${}代替#{}:

${}则是把传入的数据直接拼接在sql语句中,不会添加双引号。如下,传入'110','111','112',则:

select * from s_room where place_id in ('110','111','112')

但是${}会引起sql注入的问题,需注意对用户输入做校验和过滤

3、order by

select * from t2 order by $ {ORDER_BY}
select * from t2 order by # {ORDER_BY}

外部定义是:

private static final String ORDER_BY = "value";

Mybatis中如果使用#符引用参数,会自动在参数值两端加引号

select * from t2 order by "value"

因为当order by后是字符串,MySQL会认为根据一个常量列排序, 而常量列所有值都相等,所以也就不会排序,导致排序失效。

因此Mybatis中使用Order By时一定使用$符号,才能正常执行order by排序操作。
 

select * from t2 order by value


因为使用错误也不会报错,因此可能不容易发现。

另外如果表名是参数,也要用$符,因为表名不允许使用引号,直接就会报语法错误

使用$要注意对用户输入做校验和过滤

总结

<1>能用 #{} 的地方就用 #{},不用或少用 ${}

<2>表名作参数时,必须用 ${}。如:select * from ${tableName}

<3>order by 时,必须用 ${}。如:select * from t_user order by ${columnName}

<4>like、in后跟多参数时,注意${}的正确使用方式

圆子小朋友
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2411
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致SQL注入安全漏洞修复。
idea free-idea-mybatis-2019.12.18插件
01-10
本文将详细介绍一款名为"idea free-idea-mybatis-2019.12.18"的插件,该插件专为IDEA设计,旨在优化MyBatis框架的开发体验。 首先,MyBatis是一款轻量级的持久层框架,它通过简化SQL操作,使得Java开发者能够更专注...
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2094
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
网络安全必学SQL注入
dzqxwzoe的博客
06-20 742
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。注入攻击的本质,是把用户输入的数据当做代码执行。
如何看待mybatis-plus这个cve漏洞及声明
最新发布
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 951
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
Mybatis框架SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3279
Java中的JDBC与Mybatis中的SQL注入简易分析
soho-mybatis框架项目示例
07-19
在压缩包中的`mybatis-test`文件夹,包含了使用SOHO-Mybatis的测试代码。这些测试用例涵盖了基本的增删改查操作,可以帮助你更好地理解框架的使用方法: 1. **实体类(Entity)**:通常会有一个对应的数据库表,...
spring-springMVC-mybatis框架基本代码代码
10-31
MyBatis-velocity是MyBatis的扩展,它整合了Velocity模板引擎,使得动态SQL生成更加方便。 标签 "JAVA" 指出这个项目是用Java语言编写的,这是后端开发的主流语言之一,具有跨平台、性能良好和丰富的库支持等特点。...
详解Mybatis框架SQL防注入指南
08-18
主要介绍了详解Mybatis框架SQL防注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
# MybatisLog sql日志 Free-Mybatis 插件
06-01
它通常会显示SQL语句的原始形式,以及填充参数后的实际执行版本,帮助开发者定位潜在的SQL性能问题,如不恰当的索引使用、全表扫描等。 Free-Mybatis是这个插件的增强版,它在原有的基础上增加了更多实用功能。例如...
Java全栈工程师-MyBatis框架
06-22
配置文件mybatis-config.xml中则定义了数据源、事务管理器以及Mapper扫描路径等关键设置。 接下来,我们探讨MyBatis的映射文件(Mapper XML)。映射文件是MyBatis实现数据库操作的核心,它包含了SQL语句和结果映射...
基于Java的fluent-mybatis语法增强框架设计源码
05-27
该项目旨在为开发者提供一个高效、便捷的Mybatis扩展解决方案,综合了Mybatis Plus、Dynamic SQL、JPA等框架特性和优点,利用Annotation Processor生成代码,支持代码自动生成、数据映射、动态SQL等功能,帮助开发者...
free-idea-mybatis2020.9.15.rar
08-23
这个压缩包很可能是包含了特定日期(2020年9月15日)的MyBatis插件或者与之相关的配置、示例代码或教程,旨在帮助开发者在IntelliJ IDEA中更高效地使用MyBatis。 【描述】"free-idea-mybatis2020.9.15" 简单的描述...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
Mybatis防止sql注入的实例
08-30
然而,在mybatis中,也不是所有的参数都可以使用#{xxx}这样的格式,例如涉及到动态表名和列名时,只能使用${xxx}这样的参数格式,这样的参数需要我们在代码中手工进行处理来防止注入。例如:”map”> select id,...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 3164
使用mybatis的时候遇到了#{}和${}可能导致sql注入问题
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 4303
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞。
消息摘要算法与密码加密
weixin_48206782的博客
09-13 418
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程中是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
什么是SQL注入?使用Mybatis时,如何防止SQL注入
06-09
SQL注入是一种常见的网络攻击方式,攻击者利用程序没有对用户输入进行充分过滤或转义的漏洞,向数据库中注入恶意的SQL代码,从而实现对数据库的非法访问和操作。 在使用Mybatis时,可以采取以下措施来防止SQL注入:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

圆子小朋友

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值