Mybatis源码阅读番外篇——Sql注入问题

最新推荐文章于 2024-06-24 11:01:22 发布
最新推荐文章于 2024-06-24 11:01:22 发布
阅读量6.2k 收藏 2
点赞数
分类专栏: Mybatis源码阅读系列 文章标签: sql注入 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35946969/article/details/123440227
版权

【系列目录】
Mybatis源码阅读之一——工厂模式与SqlSessionFactory

Mybatis源码阅读之二——模板方法模式与Executor

Mybatis源码阅读之三——JDBC解析与Mybatis封装

Mybatis源码阅读之四——装饰器模式与Mybatis中的各种Cache

Mybatis源码阅读之六——数据库连接池实现与hikariCP简析

Mybatis源码阅读之八——代理模式与Mybatis插件(pagehelper为例)

Mybatis源码阅读之九——适配器模式与日志模块

Mybatis源码阅读之九——适配器模式与日志模块

Mybatis源码阅读之十——Mybatis中优雅的责任链模式

Mybatis源码阅读之十一——反射

文章目录


Sql注入是前些年盛行的一种服务攻击手段,是发生于应用程序与数据库层的安全漏洞。

注入举例

原功能SQL如下,这是一个根据username查询的sql。

select * from admin where username='$username'

一个正常的请求如下:

select * from admin where username="zhangsan"

但是如果没有预防措施,这里的参数$username有可能篡改,造成数据泄漏/恶意错误/恶意阻塞等问题。
payload:

username=admin' union select * from sys_user

恶意SQL:

select * from admin where username='admin' or 1 union select * from sys_user

注入手段

攻击者是如何知道某个接口有SQL可注入漏洞。

错误回显

通过页面传参测试生成如下Sql:

payload:
  url?username='"

select * from admin where
username='"

显然这是一个左单引号有双引号的错误sql,如果接口返回SQL语法的错误信息,那么就可以明确的知道这个接口没有做SQL注入的防御措施。

那我们可能会说,既然错误信息提示了攻击者,那我们把SQL错误的内部信息拦截掉,不展示到页面不就好了?
答案没那么简单。

盲注

没有错误信息,攻击者还可以通过盲注进行接口是否可注入的验证。
构造简单的条件语句,根据返回页面是否发生变化来判断SQL语句是否得到执行。
比如:

payload:  
  url?username=真实username and 1=2

当我们关掉了错误回显,以上sql的执行显然会返回一个空结果。但是做了防注入处理的执行也可能返回空结果,所以需要进一步验证。

payload:  
  url?username=真实username and 1=1

如果这一次能够正常看到数据,那么说明漏洞存在。

Time Attach

除了盲注还有一种判断方式,利用BENCHMARK函数或SLEEP函数。

payload:  
  url?id=1 and (select sleep(5))

select * from admin where
id=1 and (select sleep(5))

如果接口响应达到我们指定的睡眠秒数,那么可以认定存在漏洞。

参考: 《白帽子讲Web安全》

如何防止注入

一条sql的行程

在一个使用Mybatis的Web应用中,sql会经过如图过程,可见,哪里会对SQL进行参数解析赋值,哪里就可能产生注入问题。

Mybatis(或其他JDBC封装)层面防注入

那么这里就不只是要考虑对Mysql服务本身的注入,还要考虑使用Mybatis等对JDBC功能进行了封装的框架,它们可能导致的注入问题。

占 位 符 , 这 是 一 个 常 见 面 试 题 , 这 里 的 漏 洞 无 法 在 数 据 库 层 面 防 范 。 ∗ ∗ 因 为 它 发 生 在 M y b a t i s 对 S Q L 的 解 析 过 程 中 , 会 将 {}占位符,这是一个常见面试题,这里的漏洞无法在数据库层面防范。 **因为它发生在Mybatis对SQL的解析过程中,会将 MybatisSQL{}替换成对应的参数值,得到一个完整的SQL,然后使用完整SQL再请求数据库。**

我们应该尽量使用#{},#{}不会在Mybatis中直接替换成完整SQL,而会使用数据库提供的预编译功能来防止SQL注入。

Mysql层面防注入

为了从根本上避免上述注入问题,我们应该使用数据库本身提供的预编译机制。
JDBC对预编译也提供了对应的抽象接口(PerparedStatement):

预编译实现参数化查询

什么是数据库预编译?

将一次Sql拆分为多次,第一次传入Sql,不包含参数;第二次传入参数,执行Sql。

一个插入sql的预编译使用流程如下:

mysql> prepare goodstest from 'insert into goods values(?,?)';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> set @a=1,@b='测试商品';
Query OK, 0 rows affected (0.00 sec)

mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1  Duplicates: 0  Warnings: 0

为什么预编译可以防止Sql注入?

因为数据库(Mysql)服务本身在第一次请求后已经知道了这个SQL本身结构,知道?的位置是参数,那么数据库就可以对第二次传入的参数做限制,无论第二次过来的是什么语句,包含什么关键字都没关系,我认为你就是个字符串或其他基本类型。

不可以预编译解决的注入-白名单

预编译不是万能的,有些场景下就不可以使用,比如order by {参数变量}。

为什么order by {参数变量}不能使用预编译,不能使用#{}?

因为预编译本身是对传入的参数做了字符串化的操作,也就是将传入的参数前后都加上一个引号,这种处理对于参数来说自然是可以的,因为数据库会进行自动的类型转换,但是对于order by却不可以,它后面跟的不是参数,而是表字段/关键字。

如果带上引号成了order by ‘username’,那username就是一个字符串不是字段名了,那么排序自然不成立。对于mysql来说,它将会无视这个order by条件。

那么我们就可以得出一个结论:

凡是字符串但又不能加引号的位置都不能参数化,包括sql关键字、库名表名字段名函数名等等。

那么这种情况下,该如何解决呢?
在应用服务中手动添加白名单,比如我们可以根据id,name排序,那么就在业务代码中过滤判断进行拦截。
当然白名单也可以做的优雅一些,我们可以借助数据库可查询库表字段的功能来实现。

原创不易,文章下方点个在看,作者更有动力!

JAVA技术分享官
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis源码阅读(三):结果集映射3.3 —— 主键生成策略
12-14
前言 在前面两篇博客中,我们介绍了对于select语句的简单映射和嵌套映射。mybatis中使用ResultHandler等一系列的类,将查询结果封装到实体类中,可以说是mybatis中最复杂的过程,而剩下的insert、update、delete语句的操作则显得较为简单,没有复杂的映射逻辑。这里需要提的是在insert语句中,关于主键自增的问题。 KeyGenerator 在我们实际的开发中,自增主键还是使用比较多的。而mybatis在处理insert语句时,并不会将自增主键给返回,而是返回插入的条数。当我们有业务需求要获取插入时产生的自增主键(或者其他类型不由程序生成的主键)时,则可以使用
Mybatissql注入问题
mazhongjia的博客
01-08 1054
一、sql注入概念 SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序中数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 二、sql注入举例 最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意...
MybatisMybatis存在的sql注入问题
最新发布
杰叔叔不是个好叔叔的博客
06-24 412
尽量避免在SQL语句中直接拼接用户输入的数据。使用#{}占位符来传递参数,并确保参数被正确地预编译。对于需要动态拼接SQL的场景(如模糊查询、IN语句、ORDER BY等),使用MyBatis提供的标签和函数来确保安全性。在Java层面进行必要的验证和过滤,确保用户输入的数据符合期望的格式和范围。定期对代码进行安全审计和测试,及时发现并修复潜在的SQL注入漏洞。
Mybatis检查SQL注入
weixin_30647065的博客
01-17 480
目录 Mybatis的#{ }和${ }的由来 如何排查出 1. 检查是否有$号 2. 检查是否有order by 为什么#{ }就安全 什么情况下用不了#{} 先复习一下order by的用法: ...
Mybatis sql注入问题
Natsumis的博客
03-10 688
1.mybatis中mapper文件中引用参数时有两种方式: ${}和#{} 2.推荐使用#{},因为${}可能引起sql注入问题。 3.例如: ① select * from user where id = #{id} 此时sql预编译是select * from user where id = ?, 引用会被占位符取代,较为安全。 ② select * from ${tableName} where name = #{name}   在这个例子中,如果表名为 user; delete user; –
MYBATIS SQL注入问题
weixin_43840872的博客
10-27 326
什么是SQL注入? 是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 举个例子 比如用户登录 select * from user where (name = ’ username ') and (pw = ’ password '); username 和 password 字段被恶意填入 username = “1’ OR ‘1’='1”; 与 password = “1’ OR ‘1’='
MybatisSQL注入隐患操作复现&防止SQL注入
qq_35614522的博客
07-21 2126
很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,本文将复现MybatisSQL注入问题并给出正确操作。
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
MyBatisCN:《通用通用阅读指导书——MyBatis源码详解》配套注释版
03-23
《通用源码阅读指导书——MyBatis源码详解》以MyBatis源码中的包为单位,详细和透彻地介绍每个类的源码,包括其背景知识,组织方式,逻辑结构,实现细节。在本书的在阅读MyBatis源码的过程中,本书使用了运行初探,...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
mysql防注入方法_mybatis如何防止sql注入mybatis 防止sql注入的方法介绍
weixin_39939510的博客
02-02 550
在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这里就跟大家讲解一下mybatis如何防止sql注入mybatis 防止sql注入的方法。mybatis如何防止sql注入mybatis如何防止sql注入?MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,Prepa...
Mybatissql注入问题
QYH7777的博客
04-11 245
MyBatis中使用sql字符串拼接的时候,要注意防止sql注入问题。 首先说一下${}和#{}的区别 #{}:占位符,是以预编译的形式,将参数设置到sql语句中;PreparedStatement;防止sql注入 ${}:拼接符,取出的值直接拼装在sql语句中,会有安全问题sql注入; 实例语句中:name传入值为 李四 select * from user where name...
Mybatis防止sql注入原理
任我行哟的博客
11-02 8766
SQL 注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL 语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL注入 - 维基百科SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“或'1'='1'”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些,来防备这...
mysql注入式攻击实战,Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
weixin_35330796的博客
03-18 121
前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。一、MybatisSQL注入SELECT*FROMNEWSWHEREID=#{id}使用预编译...
Java SQL注入危害这么大,该如何来防止呢?
qq_42575330的博客
04-14 698
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 J...
急速解决代码扫描MybatisSQL注入问题
变个魔术
03-25 1054
在后端代码和数据库中都开启对sql注入的验证,同时用专业的注入工具查找本系统的漏洞进行修复,也可以进行账号诱骗,将一些如“admin”之类的容易受到攻击的用户设置上千位的密码,让攻击者的软件因为解析量大而负载过大,从而耗尽资源而宕机。sql注入见名知意,是指一些非法用户通过将一些特殊字符或者sql语句插入到要提交的表单之中,从而让服务器在不知情的情况下执行恶意的sql命令,从而引发一系列的安全隐患。这就是典型的系统漏洞,因此sql注入对系统的危害是非常大的,做好防止sql注入也是系统必须完善的。
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 761
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
CVE-2022-28111(Mybatis-Pagehelper)
一支花傲寒的博客
11-21 3033
CVE-2022-28111(Mybatis-Pagehelper)分页插件漏洞
mybatis源码阅读
06-07
阅读 MyBatis 源码可以从以下几个方面入手: 1. 了解 MyBatis 的整体架构和设计思路,包括它的核心组件和模块,如 SQL 解析器、参数处理器、映射器、缓存等。 2. 研究 MyBatis 的工作流程,了解在应用程序中如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值