Mybatlis SQL 注入与防范

 

SQL注射原理

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

 

攻击方式

猜表名

And (Select count(*) from 表名)<>0

and exists (select * from 表名）

猜列名

And (Select count（列名） from 表名）<>0

and exists (select 列名 from 表名）

拉全表

' or 1 = 1 #

#可以注释掉后面的一行SQL代码

实战演练

正常请求

http://xxxxxx/sc?cn=sc

响应结果数量：

 

注入请求

http://xxxxxx/sc?cn=sc' or 1= 1 or '' = '

响应结果数量：

可以从响应结果数中看到，它已经几乎把我们所有的数据给拉了出来。

 

防御调整

原查询语句

<!--查询学校-->

<select id="selectSchool" resultMap="BaseResultMap" parameterType="map">

    select xxx from yyyy

    where zzz = 'section' and deleted_at is null and is_open = 1

    <if test="name !=null">

        and name like '%${name}%'

    </if>

    <if test="pinyin !=null">

        and pinyin_initial like '${pinyin}%'

    </if>

    order by id

</select>

调整后语句

<!--查询学校-->

<select id="selectSchool" resultMap="BaseResultMap" parameterType="map">

    select xxx from yyyy

    where zzz = 'section' and deleted_at is null and is_open = 1

    <if test="name !=null">

        and name like concat(concat('%',#{name}),'%')

    </if>

    <if test="pinyin !=null">

        and pinyin_initial like concat((#{pinyin}),'%')

    </if>

    order by id

</select>

调整后执行日志

2016-03-11 16:06:29.661 [http-nio-8080-exec-8] DEBUG org.mybatis.spring.SqlSessionUtils 106 getSqlSession- Creating a new SqlSession

2016-03-11 16:06:29.663 [http-nio-8080-exec-8] DEBUG org.mybatis.spring.SqlSessionUtils 142 getSqlSession- SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@647a5210] was not registered for synchronization because synchronization is not active

2016-03-11 16:06:29.677 [http-nio-8080-exec-8] DEBUG o.m.spring.transaction.SpringManagedTransaction 85 openConnection- JDBC Connection [com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl@69787b57] will not be managed by Spring

2016-03-11 16:06:29.678 [http-nio-8080-exec-8] DEBUG c.z.customer.base.dao.DistrictMapper.selectSchool 132 debug- ooo Using Connection [com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl@69787b57]

2016-03-11 16:06:29.678 [kafka-producer-network-thread | producer-2] DEBUG org.apache.kafka.clients.NetworkClient 385 maybeUpdateMetadata- Trying to send metadata request to node -1

2016-03-11 16:06:29.679 [http-nio-8080-exec-8] DEBUG c.z.customer.base.dao.DistrictMapper.selectSchool 132 debug- ==>  Preparing: select id ,name ,parent_id,district_type,pinyin,pinyin_initial from districts where district_type = 'section' and deleted_at is null and is_open = 1 and name like concat(concat('%',?),'%') order by id

2016-03-11 16:06:29.682 [http-nio-8080-exec-8] DEBUG c.z.customer.base.dao.DistrictMapper.selectSchool 132 debug- ==> Parameters: sh' or 1 =1  or '' = '(String)

2016-03-11 16:06:29.705 [http-nio-8080-exec-8] DEBUG org.mybatis.spring.SqlSessionUtils 170 closeSqlSession- Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@647a5210]

调整后响应数据为空

{

  "success": true,

  "data": {

    "schools": []

  }

}

#号与$区别

#号表示参数，$代表一个字符串。

select a,b,c from table1 where id=#value# 传入参数后如：value="1"，则可生成：select a,b,c from table1 where id=‘1’。

 

select a,b,c from table1 where city like '%$value$%' 传入参数后：value="berg"，则可生成：select a,b,c from table1 where city like '%berg%'。

 

${} 为原样输出，你传什么，sql里就填入什么。比如有引号它也会原样填到sql里。

 

#{} 会使用 PreparedStatement，变量处用 ? 代替。 在能使用 #{} 尽量使用它吧，可以防止sql注入。

 

在用#时，会在数据库里面生成一颗执行树，每一个参数就像是填空题一样被放入这颗执行树中。每次SQL执行时，执行树都是生成好的，不用重复解析SQL。同时也提升了SQL执行效率。