Mybatis的SQL注入隐患操作复现&防止SQL注入

已于 2022-07-21 13:41:10 修改
阅读量2.1k 收藏 2
点赞数
分类专栏: MyBatis 文章标签: mybatis sql web安全
于 2022-07-21 11:15:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35614522/article/details/125908125
版权

很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,下面将复现Mybatis的SQL注入问题并给出正确操作。

1.复现SQL注入操作

1.新建一张表(MqSQL):
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for test
-- ----------------------------
DROP TABLE IF EXISTS `test`;
CREATE TABLE `test`  (
  `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `age` int(10) UNSIGNED NULL DEFAULT NULL,
  `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE,
  UNIQUE INDEX `age`(`age`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of test
-- ----------------------------
INSERT INTO `test` VALUES (1, 25, 'Robert');

SET FOREIGN_KEY_CHECKS = 1;
2.执行like查询操作
select *
from test 
where name like '%Ro%'

查询结果:
在这里插入图片描述

3.查询内容换成SQL注入语句
Robert';DROP TABLE test;--

这样SQL就变成:

select *
from test 
where name like '%Robert';DROP TABLE test;--%'

执行后会发现我们的表被删掉了。这就是SQL注入漏洞。

2.解决SQL注入隐患

我们Mybatis中动态SQL有${}和#{}两种解释方式:

  • ${}是直接将参数拼接到SQL中,这样就存在SQL注入的危险漏洞;
  • #{}会先识别参数类型,是字符串的话会完全按照字符串去处理,也就是这种方式会直接将参数Robert’;DROP TABLE test;–当做一个字符串,这样就解决了SQL注入的问题。

如下使用${}:危险SQL

select *
from test 
where name like '%${name}%'

使用#{}:安全SQL

select *
from test 
where name like concat('%', #{name}, '%')

所以日常开发过程,一定要首选#{}方式,不得已情况下再使用${}

3.那么有人会问什么情况是不得已的情况?

比如如下场景:test表有很多临时表,这些临时表表名是随机生成的,我们不能将表名直接写死到SQL,所以需要使用动态参数,如下:

select *
from #{table_name}
where name like concat('%', #{name}, '%')

这种情况使用#{}方式就会报错,因为table_name会被解析成字符串如下:

select *
from 'test'
where name like concat('%', 'Ro', '%')

在执行SQL时就报错,语法错误
在这里插入图片描述

改为${}就可以了,那么这时候还存在SQL注入隐患吗?试一下:

select *
from test;DROP TABLE test;--
where name like concat('%', 'Ro', '%')

发现test表仍被删除掉了,所以只要使用了${}就存在SQL注入隐患。

解决办法:对使用${}的动态参数在Java端做好严格管控:

  1. 这种参数不应该由接口传入
  2. 由接口传入的应该做好参数校验,防止恶意参数

以上就是关于SQL注入隐患的解释及解决方案,作为后端开发人员要时刻保持安全意识,永远记住一点:对外开放的接口都不是绝对安全

凤舞云烟
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2098
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
mybatis sql注入拦截器
u010449328的博客
07-27 794
mybatis防范sql注入拦截插件,为了防止误伤其它参数,插件只解析了mapper中占位符${}的参数来匹配规则,该插件非侵入式和无其它依赖
网络安全之SQL注入漏洞(中篇)(技术进阶)
weixin_70911257的博客
04-21 1248
在我们手工注入时,我们应当根据实际情况判断用那种注入,以及要知道每一种注入方法的原理,手工注入固然慢,但是这才是灵魂所在,使用sqlmap工具虽然高效但是没有灵魂嘞。
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1200
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
利用mybatis拦截器注解处理sql
Gj1999的博客
02-06 849
/ 通过mybatis的反射来获取对应的值,目的是找到方法的基础信息。建个类 实 Interceptor接口,重写intercept方法;// id字段对应执行的SQL的方法的全路径,包含类名和方法名。这样就可以在每条sql的时候做判断,方便做统一处理。// 动态加载类并获取类中的方法。// 获取方法上的注解以及注解对应的参数。// 反射获取参数对象。// 获取拦截器拦截的设置参数对象。//获取名称 用来判断是否是入参。//首先获取该xml信息。//获取参数,然会做处理。
一种常见的MybatisSQL注入
Sam Knne的博客
04-05 1089
Mybatis是后端开发中一种常见的ORM框架,主要用于数据持久化。 举个例子重一下: 在有一张名为student的表,表结构如下: 其中id为自增主键,余下字段分别为英语成绩、数学成绩、美术成绩、学生的学号、学生的姓名、学生的电话。 目前表里面有6条数据: 使用mybatis框架实根据美术成绩查找相应的记录,在mapper.xml文件里,代码大概会这么写: <!--通过美术成绩...
JAVA+SQL办公自动化系统(源代码+论文+外文翻译)
06-01
例如,使用Servlet和JSP技术构建Web应用,Spring框架进行依赖注入和事务管理,Hibernate或MyBatis进行数据持久化操作SQL,即结构化查询语言,是管理和操作关系型数据库的标准语言。在这个系统中,SQL用于创建、...
基于JavaScript的旅行社管理系统源码+数据库sql+项目说明(毕业设计).zip
08-21
基于JavaScript的旅行社管理系统源码+数据库sql+项目说明(毕业设计).zip 1、该资源内项目代码都是经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信...
数据库课程设计后端 使用spring boot +mybatis +redis+maven.zip
最新发布
06-29
每一个设计都经过精心构思和实践验证,具备良好的数据库结构设计、规范化处理以及高效的查询操作。 资源中详细阐述了数据库的需求分析、概念模型设计、逻辑模型构建、物理实以及相应的应用程序接口(API)设计。...
数据库课程设计-医院药品管理系统,数据库设计,Spring Boot + MyBatis + MySQL.zip
06-29
每一个设计都经过精心构思和实践验证,具备良好的数据库结构设计、规范化处理以及高效的查询操作。 资源中详细阐述了数据库的需求分析、概念模型设计、逻辑模型构建、物理实以及相应的应用程序接口(API)设计。...
MyBatis框架基础入门内含源码以及说明书可以自己运行.zip
05-07
这个压缩包包含的资源是针对初学者的MyBatis框架基础入门教程,其中涵盖了从基本概念到高级特性的全面讲解,并且提供了源码和说明书,方便读者实践操作,自行运行和示例。 首先,`0.MyBatis简介.md`文件会介绍...
Mybatis框架下SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
mybatisplus(${ew.customSqlSegment})自动生成sql的终极大坑搞了我一下午
ZhuRuiccc的博客
07-11 4022
坑了我一下午的,认知问题,知道肯定就不会再犯。
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实注入的,代码中要如何防范这种动态sql注入
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 336
MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
解决mybatis使用${}时sql注入的问题
qq_37048804的博客
08-14 8290
最近在上线项目的时候,代码审查没有通过,提示有sql注入的风险。 ORDER BY ${orderBy} 很简单的一个排序字段,但是因为使用 ${} 占位符的原因,有sql注入的风险,相信大家平时也经常会使用这个占位符,不知道有没有考虑sql注入的问题,下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入的问题。 区别 #{}是一个参数占位符,对于String类型会...
mybatis防止sql注入
u012406790的专栏
09-15 511
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
mybatis 动态更换表名,用以动态访问不同表的数据(#{} 、${})
qinyi8888的博客
02-18 2907
原文地址:https://blog.csdn.net/qq_25221835/article/details/86711987 贴个图片,方便查看重点: 或者: 看了上面,大家就应该要猜到我等下要说什么了,我再贴下我之前的问题代码: 错误代码一: 1.所有参数都用#{} 错误原因:错误的关键就在于#{table},其实本质还是#{}和${} 的区...
mybatis中#与$区别
RichardGeek的博客
07-06 265
 mybatis中#与$区别动态 sql 是 mybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。在下面的语句中,如果 username 的值为 zhangsan,则两种方式无任何区别:select * from user where na...
mysql like 防注入_mybatis模糊查询防止SQL注入
weixin_39946429的博客
01-27 571
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可...
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句与Java代码解耦的方式。尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都通过参数占位符的方式传递到SQL语句中,而不是直接拼接到SQL语句中。这样可以避免恶意用户输入特殊字符来破坏SQL语句结构。 2. 输入验证和过滤:在接收用户输入之前,对输入进行合法性验证和过滤。可以使用正则表达式、白名单或黑名单等方式来限制输入内容的合法范围,并过滤掉可能造成SQL注入的特殊字符。 3. 使用MyBatis的动态SQL功能:MyBatis提供了动态SQL功能,可以根据不同的条件动态拼接SQL语句。在使用动态SQL时,应该使用MyBatis提供的安全方法来拼接字符串,而不是直接拼接用户输入。 4. 限制数据库权限:为数据库用户设置合适的权限,最小化其对数据库的操作权限。这样即使发生注入攻击,攻击者也只能对具有限制权限的数据进行操作。 5. 定期更新MyBatis版本:及时关注MyBatis的更新和安全公告,及时更新到最新版本,以获取最新的安全修和功能改进。 总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更新MyBatis版本等多种手段来综合保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值