MyBatis源码阅读--防注入实现

最新推荐文章于 2024-01-03 14:30:57 发布
最新推荐文章于 2024-01-03 14:30:57 发布
阅读量816 收藏 1
点赞数
分类专栏: Mybatis源码阅读 文章标签: MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011676300/article/details/82951956
版权

MyBatis源码阅读-总索引

MyBatis源码阅读–防注入实现

文章目录

什么是Sql注入

百度百科:Sql注入
简单来讲,一条查询语句如下,userName为用户传入的String参数 :

public String getSql(String userName){
   return "select * from user where user_name =  " + userName;
}
//获取到的sql就是
"select * from user where user_name =  (userName)";

如果输入参数被用户恶意伪造,使得 userName 传入的字符串为 " ‘xxxx’ or 1 =1",

//获取到的sql就是
"select * from user where user_name =  'xxxx' or 1 =1";

那么此时查询条件永远为真,数据就会被查询出来。

jdbc 中的Statement接口

Statement是jdk sql包下的一个接口,其有三个实现类,Statement ,PreparedStatement,CallableStatement其中CallableStatement是PreparedStatement的子类;

  • Statement只能执行静态sql 语句
  • PreparedStatement可以动态操作sq语句
  • CallableStatement在PreparedStatement的基础上,增加了对存储过程的支持。

例子

Statement访问数据库
 public void testSQLInjection() {
        String username = "a' OR PASSWORD = ";
        String password = " OR '1'='1";

        String sql = "SELECT * FROM users WHERE username = '" + username
                + "' AND " + "password = '" + password + "'";
        System.out.println(sql);
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            connection = JDBCTools.getConnection();
            statement = connection.createStatement();
            resultSet = statement.executeQuery(sql);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.releaseDB(resultSet, statement, connection);
        }
    }
PreparedStatement访问数据库
public void testSQLInjection2() {
        String username = "a' OR PASSWORD = ";
        String password = " OR '1'='1";
        String sql = "SELECT * FROM users WHERE username = ? "
                + "AND password = ?";
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            connection = JDBCTools.getConnection();
            
            preparedStatement = connection.prepareStatement(sql);
            //单独设置sql语句占位符中的两个参数
            preparedStatement.setString(1, username);
            preparedStatement.setString(2, password);
            resultSet = preparedStatement.executeQuery();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JDBCTools.releaseDB(resultSet, preparedStatement, connection);
        }
    }

可以看到PreparedStatement的sql语句传入参数都是“?”代替,参数可以动态改变,PreparedStatement会对sql语句进行预编译处理。Statement的sql语句属于字符串拼接,Statement不会对sql语句进行预编译处理,很容易出现上述的注入攻击。

StatementType

org.apache.ibatis.mapping.StatementType定义了三个枚举量,分别对应上述的三种Statement。

public enum StatementType {
    STATEMENT,
    PREPARED,
    CALLABLE;

    private StatementType() {
    }
}

mapper.xml 防注入实现

这是mapper 接口中的方法

   SysUser selectByPrimaryKeyAndName(@Param("id") Long id,@Param("userName") String name);

执行查询语句

 sysUser1 = sysUserMapper.selectByPrimaryKeyAndName(1030L,"liqia");

对应的mapper.xml查询语句

通过设置statementType属性来设置不同的实现类。

PREPARED防注入实现

使用PREPARED,最终使用PreparedStatement类来执行,防注入实现。

 <select id="selectByPrimaryKeyAndName"  resultMap="BaseResultMap"   statementType="PREPARED">
    select id, user_name, user_password, user_email, create_time, user_info, head_img
    from sys_user
    where id = #{id,jdbcType=BIGINT} and  user_name = #{userName,jdbcType=VARCHAR}
  </select>

日志输出

DEBUG [main] - ==>  Preparing: select id, user_name, user_password, user_email, 
create_time, user_info, head_img from sys_user where id = ? and user_name = ? 
DEBUG [main] - ==> Parameters: 1030(Long), liqia(String)
TRACE [main] - <==    Columns: id, user_name, user_password, user_email, 
create_time, user_info, head_img
TRACE [main] - <==        Row: 1030, liqia, 789, Mali@qq.com, 2018-03-14 14:53:11.0, 
<<BLOB>>, <<BLOB>>
DEBUG [main] - <==      Total: 1

使用?类作为占位符,最后再将两个参数传入。

STATEMENT存在注入风险

使用STATEMENT,最终使用Statement类来执行,存在注入攻击的风险实现。

<select id="selectByPrimaryKeyAndName"  resultMap="BaseResultMap"  statementType="STATEMENT">
    select id, user_name, user_password, user_email, create_time, user_info, head_img
    from sys_user
    where id = ${id} and  user_name = '${userName}'
  </select>

日志输出

DEBUG [main] - ==>  Executing: select id, user_name, user_password, user_email, 
create_time, user_info, head_img from sys_user where id = 1030 and user_name = 'liqia' 
TRACE [main] - <==    Columns: id, user_name, user_password,
user_email, create_time, user_info, head_img
TRACE [main] - <==        Row: 1030, liqia, 789, Mali@qq.com, 2018-03-14 14:53:11.0,
 <<BLOB>>, <<BLOB>>
DEBUG [main] - <==      Total: 1

没有站位符,直接将Sql语句和参数拼接。

注意两段日志中的不同之处:

//PREPARED
 where id = ? and user_name = ?
 //STATEMENT
 where id = 1030 and user_name = 'liqia'

注意:
statementType未指定的情况下,默认是“PREPARED”。
需要注意的是

  1. PREPARED时,占位符使用"#"。STATEMENT时,占位符使用"$",否则会出现异常。
  2. 由于传入的userName是字符串类型,STATEMENT时,${userName}外边需要家引号。
  3. STATEMENT时,相当字符串拼接,因此不能再使用jdbcType=BIGINT,jdbcType=VARCHAR等。

什么情况下会出现注入风险

上面的两个例子并不会出现注入攻击风险。
因为上述例子中,’${userName}’ ,userName已经使用单引号包围,不管你的输入参数是什么,都会被解析成一个查询字符串。
比如输入是" xxxx or 1 =1"
sql语句是

select id, user_name, user_password, user_email, create_time,
 user_info, head_img from sys_user where id = 1030 and user_name = 'xxxx or 1 =1'

当没有单引号时,才会出现注入攻击风险。

<select id="selectByPrimaryKeyAndName"  resultMap="BaseResultMap"  statementType="STATEMENT">
    select id, user_name, user_password, user_email, create_time, user_info, head_img
    from sys_user
    where id = ${id} and  user_name = ${userName}
  </select>

执行查询语句,注意 xxx使用了单引号包围。

 sysUser1 = sysUserMapper.selectByPrimaryKeyAndName(1030L," 'xxx' or 1=1");

输出,注意此时的查询语句:select id, user_name, user_password, user_email, create_time, user_info, head_img from sys_user where id = 1030 and user_name = ‘xxxx’ OR 1=1

DEBUG [main] - ==>  Executing: select id, user_name, user_password, user_email, 
create_time, user_info, head_img from sys_user where id = 1030 
and user_name = 'xxxx' OR 1=1 
TRACE [main] - <==    Columns: id, user_name, user_password, user_email,
 create_time, user_info, head_img
TRACE [main] - <==        Row: 1, admin, 123456, admin@mybatis.tk, 
2018-03-03 11:00:00.0, <<BLOB>>, <<BLOB>>
TRACE [main] - <==        Row: 1030, liqia, 789, Mali@qq.com, 
2018-03-14 14:53:11.0, <<BLOB>>, <<BLOB>>
TRACE [main] - <==        Row: 1054, null, null, null, 2018-09-30 17:16:26.0, 
<<BLOB>>, <<BLOB>>
Exception in thread "main" org.apache.ibatis.exceptions.TooManyResultsException: 
Expected one result (or null) to be returned by selectOne(), but found: 3
DEBUG [main] - <==      Total: 3

我们的数据库中并没有一条数据的user_name是输入参数(" ‘xxx’ or 1=1"),但所有的数据都被查询出来,这就是注入攻击。

皮蛋瘦肉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
mybatis注入
whupanyinghua的专栏
06-10 2055
预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,order by等等。数据库在执行该语句时,直接使用预编译的语句,然后用传入的userId替换占位符?$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。# {}是经过预编译的,是安全的;$ {}:是输出变量的值。
MyBatis源码分析之SQL注入
u012734441的专栏
01-18 1422
MyBatis源码分析之SQL注入 这一节来讲下MyBatisSQL注入,SQL注入大多数也会比较清楚,就是SQL参数对应的字段值时插入混合SQL,如 ** username = or 1= 1** 这种,如果有更恶劣的,带上drop database 这种都是有可能的,所以一般SQL都会进行一定注入处理,MyBatis其实用法大都清楚,就是**#{paras}和${paras}**两种用...
mybatis SQL注入
学而不思则罔 思而不学则殆
10-11 104
使用#{xxx}来设置,这样可以利用mybatisfsql注入 public String selectUsers(SysUser sysUser){ // final SysUser sysuser = (SysUser)param.get("sysuser"); String qrysql = new SQL(){ { SELECT("*").FROM("sys_user"); // if(!StringUtils.isBl
MybatisMybatis如何止sql注入
最新发布
AliceNo的博客
01-03 6564
在软件开发过程中,数据安全一直是至关重要的一环。SQL 注入攻击是一种常见而危险的威胁,攻击者通过恶意构造 SQL 语句,试图绕过应用程序的合法性检查,访问、修改或删除数据库中的数据。MyBatis 作为一款流行的持久层框架,提供了多种机制来范 SQL 注入攻击,开发者应当充分利用这些机制,保障应用程序的数据安全性。在应对 SQL 注入攻击时,MyBatis 的参数化 SQL 语句、动态 SQL 标签以及拦截器等功能为开发者提供了有力的支持。
mybatis止sql注入原理
foralllove的博客
01-24 1344
1.什么是sql注入 sql注入解释: 是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句去修改数据信息。 例如:"select * from user where id =" + "参数" ,然后有人而已恶意拼接参数 1;delete from user; select * from user where id =1;delete from user;数据库就被恶意修改了。 2.mybaties止sql注入用法 mybatis提供两种站位符号 #{}和 ${} ${}...
mybatis-plus 源码mybatis-plus-3.0.zip)
03-03
通过阅读MyBatis-Plus 3.0的源码,我们可以深入了解其实现原理,学习如何设计和优化数据库操作框架,对于提升Java开发者的数据库操作能力大有裨益。同时,对于熟悉MyBatis-Plus源码的开发者来说,也更容易排查和解决...
spring_mybatis_spring-mybatis_
10-02
Spring MyBatis 模板是为初学者设计的一个基础项目框架,它整合了Spring和MyBatis两大流行框架,帮助开发者快速搭建一个可运行的Web应用。本文将深入讲解Spring MyBatis集成的关键知识点,包括Spring框架的核心概念...
跑通的Mybatis后端源码-WhenToMint
10-25
4. 在"跑通的Mybatis源码-WhenToMint"项目中,你可以期待看到以下内容: - mybatis-config.xml:全局配置文件,包含了数据源、事务管理器等信息。 - Mapper XML文件:定义SQL语句和映射规则。 - Mapper接口:定义...
mybatis-spring-1.2.0.jar
09-28
使用MyBatis-Spring,开发者可以将MyBatis的Mapper接口直接注入到Spring的bean中,通过方法调用来执行SQL操作,无需关心底层的SqlSession和Statement的创建和关闭。这样既保留了MyBatis的简单易用,又利用了Spring的...
mybatis-spring-1.2.0 源码
10-20
它将允许 MyBatis 参与到 Spring 的事务管理之中,创建映射器 mapper 和 SqlSession 并注入到 bean 中,以及将 Mybatis 的异常转换为 Spring 的 DataAccessException。最终,可以做到应用代码不依赖于 MyBatis,...
mybatis如何止SQL注入
01-05
mybatis如何止SQL注入
登陆(止Sql注入漏洞)的源代码
08-13
登陆(止Sql注入漏洞)的源代码 用参数从而止了Sql注入的漏洞攻击 提高安全性
Mybatis止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatis如何止SQL注入
热门推荐
fmwind的专栏
03-01 1万+
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL
mybatis 止sql注入原理
Sam997的博客
01-11 949
mybatis 止sql注入原理
MyBatis怎么止sql注入
m0_62381101的博客
09-22 4267
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
java面试mysql注入_简单了解Mybatis如何实现SQL注入
weixin_29657209的博客
02-06 130
这篇文章主要介绍了简单了解mybatis如何实现sql注入,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以止sql注入,今天就来看一下它是如何实现sql注入的。什么是sql注入在讨论怎么实现之前,首先了解一下什么是sql注入,我们有一个简单...
mybatis是如何止sql注入
学Java,找哪吒
07-09 1万+
Java基础教程系列,打造精品专栏。
Mybatis 注入注入
Hack_Different的博客
11-22 277
一、注入 ${ }:这样格式的参数会直接参与sql编译。 $ 不安全,注入 二、注入 #{ } :当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也会在数据库作为一个参数一个字段的属性值来处理而不会作为一个SQL指令。 # 安全,注入 ...
Mybatis-Plus详解:高效CRUD与数据库操作
或 https://mp.baomidou.com/)获取更多相关信息,同时,项目源码托管在GitHub(https://github.com/baomidou/mybatis-plus)和码云(https://gitee.com/baomidou/mybatis-plus)上。 MyBatis-Plus支持多种数据库,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值