一种低版本mybatisPlus SQL注入攻击解决办法

已于 2024-08-17 16:08:51 修改
阅读量153 收藏
点赞数 3
文章标签: sql java 数据库
于 2024-08-17 15:58:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37148232/article/details/141281766
版权

对https://blog.csdn.net/qq_37148232/article/details/135238622?spm=1001.2014.3001.5501作了下升级。使用切面对入参作全面检查。以解决低版本mybatisPlus所带来的sql注入问题。

public class IllegalSQLCheckExecutor  {

    private static JSONConfig jsonConfig;

    private static Set<String> IGNORE_FIELDS = new HashSet<>();

    static {
        jsonConfig = JSONConfig.create();
        // 使用的是hutool json工具
        jsonConfig.setIgnoreNullValue(true);
        jsonConfig.setIgnoreError(true);
        
        IGNORE_FIELDS.add("pageNo");
        IGNORE_FIELDS.add("pageSize");
        // 跳过一些常用字段...
    }


    // springAOP前置通知,拦截controller
    public void before(Object[] args, Signature signature) {
        for (Object arg : args) {
            if (null == arg) {
                continue;
            }
            
            Class<?> argClass = arg.getClass();
            String className = argClass.getName();
            // 只检测本公司包名下的参数类型
            if (!className.contains("zysoft")) {
                continue;
            }
            
            try {
                checkIllegalSQL(JSONUtil.parseObj(arg, jsonConfig));
            } catch (IllegalSqlException ie) {
            	// sql检测异常
                throw new LocalException("illegal parameters has been detected!");
            } catch (Exception e) {
            	// 其他异常跳过,不影响正常逻辑
                log.warn(e.getMessage());
            }
        }
    }

    private void checkIllegalSQL(JSONObject jsonObject) {
        Set<String> keys = jsonObject.keySet();
        if (keys.isEmpty()) {
            return;
        }

        for (String key : keys) {
        	// 跳过忽略的通用Key
            if (IGNORE_FIELDS.contains(key)) {
                continue;
            }
            Object valueObj = jsonObject.getObj(key);
            if (null == valueObj) {
                continue;
            }
			// 只检测字符类型
            if (valueObj instanceof String) {
                String str = String.valueOf(valueObj);
                SQLParamChecker.checkExistsIllegalSQL(str);
                continue;
            }
			// 递归检测对象
            if (valueObj instanceof JSONObject) {
                JSONObject paramObject = (JSONObject) valueObj;
                checkIllegalSQL(paramObject);
                continue;
            }
			// 递归检测数组
            if (valueObj instanceof JSONArray) {
                JSONArray jsonArray = (JSONArray) valueObj;
                for (int i = 0; i < jsonArray.size(); i++) {
                    JSONObject arrayObject = jsonArray.getJSONObject(i);
                    checkIllegalSQL(arrayObject);
                }
            }
        }
    }
}

检测工具类改进:

public class SQLParamChecker {
    // 关键字
    private static List<String> SPECIAL_WORDS;
    // 特殊符号
    private static List<String> SPECIAL_SYMBOL;

    static {

        SPECIAL_WORDS = ZYFileUtils.readClassPathFile2List("sql_special_key.txt");

        SPECIAL_SYMBOL = ZYFileUtils.readClassPathFile2List("sql_special_symbol.txt");
    }

    public static void checkExistsIllegalSQL(String context) {
        if (ZYStrUtils.isNull(context)) {
            return;
        }

        // 统一转为小写
        String text = context.toLowerCase();

        // 检查是否存在关键字
        boolean hasSpecialWord = ZYListUtils.anyMatch(SPECIAL_WORDS, text::contains);
        boolean hasSpecialSymbol = ZYListUtils.anyMatch(SPECIAL_SYMBOL, text::contains);
        // 同时带有关键字和SQL符号的注入才是完整的注入,否则不会生效。会被''符号视为字符串,
        // 本判断依本公司实际情况和等保测评公司常用检测手段得来的,该判断并非绝对,应对等保公司测评应该问题不大。也能防止一些参数误判。
        // 如后续有漏洞再更新本文章,
        if (hasSpecialWord && hasSpecialSymbol) {
            throw new IllegalSqlException();
        }
    }
}

sql_special_key.txt

add
modify
values
set
rollback
commit
database
in
on
alter
create
select
update
and
or
delete
insert
truncate
substr
ascii
exec
count
count
master
into
drop
execute
table
char
declare
sitename
xp_cmdshell
like
from
grant
use
group_concat
column_name
information_schema.columns
table_schema
union
where
order
by

sql_special_symbol.txt

*
;
--
+
,
%
)
(
'
=

   public static List<String> readClassPathFile2List(String fileName) {
        String context = readClassPathFile2String(fileName);
        List<String> list = new ArrayList<>();
        if (ZYStrUtils.isNull(context)) {
            return list;
        }
        StringTokenizer stringTokenizer = new StringTokenizer(context);
        while (stringTokenizer.hasMoreElements()) {
            String nextToken = stringTokenizer.nextToken();
            if (ZYStrUtils.isNotNull(nextToken)) {
                list.add(nextToken);
            }
        }
        return list;
    }

    public static String readClassPathFile2String(String fileName) {
        ClassPathResource resource = new ClassPathResource(fileName);
        try (InputStream inputStream = resource.getStream()) {
            return IOUtils.toString(inputStream, StandardCharsets.UTF_8);
        } catch (IOException e) {
            return null;
        }
    }
浅度差文
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 7741
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
大数据最全mybatis如何防止SQL注入_mybatisplus 分页 防注入,2024年最新这份资料可帮你解决95%的问题
2401_84164721的博客
05-07 467
preparedStatement 预编译对象会对传入sql进行预编译,那么当传入id 字符串为 “update ft_proposal set id = 3;另一种实现方式可以采用存储过程,存储过程其实也是预编译的,存储过程是sql语句的集合,将所有预编译的sql 语句编译完成后,存储在数据库上,由于存储过程比较死板一般不采用这种方式进行处理。sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入。处理使用预编译语句之外,
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2109
1. 什么是SQL 注入 关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 中最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
mybatis SQL注入攻击
Neven的博客
10-13 751
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2173
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
MyBatis防止SQL注入的方法
红烧大熊猫的博客
01-06 8343
MyBatis防止SQL注入方法 文章目录MyBatis防止SQL注入方法1. 前言2. 示例3. 不用MyBatis防止SQL注入的方法4. 原理5. 参考链接 1. 前言     这个问题其实就是问MyBatis中的#{}和KaTeX parse error: Expected 'EOF', got '#' at position 19: …号的区别,在MyBatis中,#̲{}是预编译处理, {}是字符串替换。MyBatis在处理#{}时,会将sql中的#{}替
sql注入mybatis防止sql注入
cristianoxm的博客
03-25 3536
一、Sql 注入漏洞详解 Sql 注入产生原因及威胁: 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。 Sql 注入带来的威胁主要有如下几点 猜解后台数据库,这是利用最多的方式,盗取网站的
spring mysql防注入攻击_Spring MVC 如何防止XSS、SQL注入攻击
weixin_34570507的博客
02-04 190
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转义如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。附:Ja...
Prostgresql的Timescaledb插件/扩展部署
weixin_45697805的博客
08-14 242
背景:研发需求,需要把docker部署得postgresql迁移到新的节点并要求再本地部署,提前查看数据库需要那些插件,并进行安装,docker部署的默认有插件。
4.1 SQL的起源与发展
在路上的专栏
08-16 866
SQL(结构化查询语言)是数据库管理的基石,自20世纪70年代诞生以来,它不断发展和演化,成为全球最广泛使用的数据查询语言。本文将通过生动的故事和易于理解的语言,带你了解SQL的起源、发展历程及其对现代数据库管理的深远影响。文章内容既适合数据库新手,也对专业人士具有参考价值。
SQL - 基础大汇总
心如冰清,天塌不惊
08-16 389
【代码】数据库 - 基础。
SQL - 多表查询
最新发布
心如冰清,天塌不惊
08-18 221
【代码】SQL - 多表查询。
SQLALchemy 数据的 CRUD 操作
CSDN全栈领域优秀博主,阿里云博客专家,工信部权威认证物联网技术开发工程师,曾30分钟高分通过C语言二级,两天手撸代码完成EasyX飞机大战,靠接软件私活一个月换苹果电脑
08-15 298
SQLAlchemy 是一个流行的 SQL 工具包和对象关系映射(ORM)库,用于 Python。它提供了一个高级接口来与数据库交互,允许开发者通过 Python 对象来执行 CRUD(创建、读取、更新、删除)操作,而无需编写大量的 SQL 语句。
鸿萌数据恢复服务:SQL Server 中的 GAM、SGAM、IAM,及数据库损坏的修复方法
sanyuan7783的博客
08-16 933
全局分配映射 (GAM) 负责处理数据库内的分配区,有助于在需要时识别空闲区。共享分配映射 (SGAM) 页类似于粒度图,处理数据库中特定文件组的扩展分配。索引分配映射 (IAM) 页是特殊的内部页,其作用类似于数据存储的注册表,跟踪数据页在数据库文件中的位置。
HiveSQL实战——大厂面试真题
爱吃辣条的博客
08-14 832
HiveSQL实战——大厂面试真题
Python编码系列—Python SQL与NoSQL数据库交互:深入探索与实战应用
u013889591的专栏
08-17 804
在数据驱动的现代应用开发中,数据库扮演着核心角色。Python作为一种灵活的编程语言,提供了与SQL和NoSQL数据库交互的强大工具。本文将深入探讨Python如何与SQL和NoSQL数据库进行交互,并展示在实际项目中的应用案例。SQL(Structured Query Language)数据库以其结构化查询和事务性操作而广受欢迎。而NoSQL(Not Only SQL数据库则以其灵活的数据模型、水平扩展能力和高性能等特点,应对了大数据和高并发的挑战。
hive sql 处理多层 json 数组
第一片心意的博客
08-15 750
通过 hive sql,展开包含多层 json 数组的字符串,然后获取到每个子 json 中的值。
__ac_signature
04-27
__ac_signature是一个在Plone系统中用于身份验证的重要参数。当用户登录系统时,系统会为每个请求生成一个随机的session ID,即__ac,在每个请求中都携带着。__ac_signature则是一个用于验证__ac合法性的签名字符串。 __ac_signature是通过对__ac和一些其他参数进行哈希计算生成的,具体计算方法包括:获取请求的访问路径、查询参数、POST请求数据、时间戳等,将它们按照指定的顺序和格式进行拼接,再加上一个系统级别的密钥,使用SHA算法进行哈希计算得到。 当客户端发起请求时,系统会通过计算客户端提供的__ac和其他参数,生成一个__ac_signature,然后与客户端提供的__ac_signature进行比较,以验证该请求的合法性。因为__ac_signature是依赖于具体请求参数的,所以即使攻击者知道了一个用户的__ac,也无法伪造出合法的__ac_signature,从而保证了系统的安全性。 总之,__ac_signature是Plone系统中保障用户身份安全的一个重要参数,它通过验证__ac的合法性来防止恶意用户对系统的攻击,从而保护了系统的安全和稳定运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值