MyBatis中避免注入攻击
直接使用 jdbc 的场景,如果代码中存在拼接 sql 语句,那么很有可能会产生注入,如
string sql = "select * from users where name ='"+ name + "'"; statement stmt = connection.createstatement(); resultset rs = stmt.executequery(sql);
安全的写法是使用 参数化查询 ( parameterized queries ),即 sql 语句中使用参数绑定( ? 占位符 ) 和 preparedstatement,如
// use ? to bind variables string sql = "select * from users where name= ? "; preparedstatement ps = connection.preparestatement(sql); // 参数 index 从 1 开始 ps.setstring(1, name);
使用preparedstatement的好处是:
正常情况下,用户的输入是作为参数值的,而在 sql 注入中,用户的输入是作为 sql 指令的一部分,会被数据库进行编译/解释执行。当使用了 preparedstatement,带占位符 ( ? ) 的 sql 语句只会被编译一次,之后执行只是将占位符替换为用户输入,并不会再次编译/解释,因此从根本上防止了 sql 注入问题。
言归正传,现在说一说mybatis中防止注入攻击。
在 mybatis 中,使用 xml 文件 或 annotation 来进行配置和映射,将 interfaces 和 java pojos (plain old java objects) 映射到 database records
xml 例子
mapper interface
@mapper
public interface usermapper{
user getbyid(int id);
}
xml 配置文件
<select id="getbyid" resulttype = "org.example.user" >
select * from user where id = #{id}
</select>
annotation 例子
@mapper
public interface usermapper {
@select("select * from user where id= #{id}")
user getbyid(@param("id") int id);
}
使用 #{} 语法时,mybatis 会自动生成 preparedstatement ,使用参数绑定 ( ?) 的方式来设置值,因此 #{} 可以有效防止 sql 注入。
而使用 ${} 语法时,mybatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 sql 注入,如
<select id="getbyname" resulttype="org.example.user">
select * from user where name = '${name}' limit 1
</select>
name 值为 ' or '1'='1,实际执行的语句为
select * from user where name = ''or '1'='1' limit 1
因此建议尽量使用 #{}。
但有些时候,如 order by 语句,使用 #{} 会导致出错,如
order by #{sortby}
sortby 参数值为 name ,替换后会成为
order by "name"
即以字符串 “name” 来排序,而非按照 name 字段排序
这种情况就需要使用 ${}
order by ${sortby}
使用了 ${}后,使用者需要自行过滤输入,如
<select id="getuserlistsortby" resulttype="org.example.user">
select * from user
<if test="sortby == 'name' or sortby == 'email'">
order by ${sortby}
</if>
</select>
因为 mybatis 不支持 else,需要默认值的情况,可以使用 choose(when,otherwise)
<select id="getuserlistsortby" resulttype="org.example.user">
select * from user
<choose>
<when test="sortby == 'name' or sortby == 'email'">
order by ${sortby}
</when>
<otherwise>
order by name
</otherwise>
</choose>
</select>
除了 orderby之外,还有一些可能会使用到 ${} 情况,可以使用其他方法避免,如
like 语句
-
如需要使用通配符 ( wildcard characters
%和_) ,可以 -
在代码层,在参数值两边加上
%,然后再使用#{} -
使用
bind标签来构造新参数,然后再使用#{}
<select id="getuserlistlike" resulttype="org.example.user">
<bind name="pattern" value="'%' + name + '%'"/>
select * from user
where name like #{pattern}
</select>
<select id="getuserlistlikeconcat" resulttype="org.example.user">
select * from user where name like concat ('%', #{name}, '%')
</select>
除了注入问题之外,这里还需要对用户的输入进行过滤,不允许有通配符,否则在表中数据量较多的时候,假设用户输入为 %%,会进行全表模糊查询。