ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → MyBatis框架SQL注入

MyBatis框架SQL注入

时间:2018-05-19 15:21:27人气:作者:本站作者我要评论

MyBatis框架SQL注入

0x00 MyBatis概述&背景

MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它非常灵活,非常轻量级,受到广大开发者的欢迎,各个大厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis下常见的SQL注入漏洞。

MySQL:指MySQL服务器。
MyBatis:指MyBatis框架。
JDBC:是Java用来规范数据库连接的接口。
MySQL Connector/J:MySQL提供的、符合JDBC的、用来供java程序连接MySQL数据库的jar包。俗称:MySQL数据库驱动。
0x01 MyBatis的SQL注入
MyBatis支持两种参数符号,一种是#,另一种是$

使用参数符号#的句子:

  1. <select id="selectPerson" parameterType="int" resultType="hashmap">
  2.   SELECT * FROM PERSON WHERE ID = #{id}
  3. </select>

MyBatis会创建一个预编译语句,生成的代码类似于

  1. // Similar JDBC code, NOT MyBatis…
  2. String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
  3. PreparedStatement ps = conn.prepareStatement(selectPerson);
  4. ps.setInt(1,id);

参数会在SQL语句中用占位符”?”来标识,然后使用prepareStatement来预编译这个SQL语句。
但是你以为这个SQL语句真的被MySQL数据库预编译了吗?naive!其实在默认情况下,MySQL Connector/J只不过是把selectPerson做了一下转义,前后加了双引号,拼接到SQL语句里面,然后再交给MySQL执行。
另一种使用参数符号$时,MyBatis直接用字符串拼接把参数和SQL语句拼接在一起,然后执行。众所周知,这种情况非常危险,极容易产生SQL注入漏洞。

在使用MyBatis框架时,有以下场景极易产生SQL注入。

SQL语句中的一些部分,例如order by字段、表名等,是无法使用预编译语句的。这种场景极易产生SQL注入。推荐开发在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。

like参数注入。使用如下SQL语句可防止SQL注入

  1. like concat('%',#{title}, '%')

in之后参数的SQL注入。使用如下SQL语句可防止SQL注入

  1. id in
  2. <foreach collection="ids" item="item" open="("separator="," close=")">
  3. #{item}
  4. </foreach>

0x02 x-generator的SQL注入

为了提高开发效率,一些generator工具被开发出来,generator是一个从数据库结构 自动生成实体类、Mapper接口以及对应的XML文件的工具。常见的generator有mybatis-generator,renren-generator等。

mybatis-generator是mybatis官方的一款generator。在mybatis-generator自动生成的SQL语句中,order by使用的是$,也就是简单的字符串拼接,这种情况下极易产生SQL注入。需要开发者特别注意。

不过,mybatis-generator产生的like语句和in语句全部都是用的参数符号#,都是非常安全的实现。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网