0x00 MyBatis概述&背景
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它非常灵活,非常轻量级,受到广大开发者的欢迎,各个大厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis下常见的SQL注入漏洞。
写到一半发现有些概念要在前面说清楚一下,不然容易晕。
-
MySQL:指MySQL服务器。
-
MyBatis:指MyBatis框架。
-
JDBC:是Java用来规范数据库连接的接口。
-
MySQL Connector/J:MySQL提供的、符合JDBC的、用来供java程序连接MySQL数据库的jar包。俗称:MySQL数据库驱动。
0x01 MyBatis的SQL注入
MyBatis支持两种参数符号,一种是#,另一种是$。
使用参数符号#的句子:
MyBatis会创建一个预编译语句,生成的代码类似于
参数会在SQL语句中用占位符”?”来标识,然后使用prepareStatement来预编译这个SQL语句。
但是你以为这个SQL语句真的被MySQL数据库预编译了吗?naive!其实在默认情况下,MySQL Connector/J只不过是把selectPerson做了一下转义,前后加了双引号,拼接到SQL语句里面,然后再交给MySQL执行罢了,更多的细节可以看这里