SQL注入是一種代碼注入技術(shù)捶索,用于攻擊數(shù)據(jù)驅(qū)動(dòng)的應(yīng)用,惡意的SQL語句被插入到執(zhí)行的實(shí)體字段中(例如狈蚤,為了轉(zhuǎn)儲(chǔ)數(shù)據(jù)庫內(nèi)容給攻擊者)孩锡。[摘自]SQL injection - Wikipedia
SQL注入,大家都不陌生大莫,是一種常見的攻擊方式。攻擊者在界面的表單信息或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵參數(shù)檢驗(yàn)不足的應(yīng)用程序挎袜。所以,在我們的應(yīng)用中需要做一些工作肥惭,來防備這樣的攻擊方式盯仪。在一些安全性要求很高的應(yīng)用中(比如銀行軟件),經(jīng)常使用將SQL語句全部替換為存儲(chǔ)過程這樣的方式蜜葱,來防止SQL注入全景。這當(dāng)然是一種很安全的方式,但我們平時(shí)開發(fā)中牵囤,可能不需要這種死板的方式爸黄。
MyBatis框架作為一款半自動(dòng)化的持久層框架,其SQL語句都要我們自己手動(dòng)編寫揭鳞,這個(gè)時(shí)候當(dāng)然需要防止SQL注入炕贵。其實(shí),MyBatis的SQL是一個(gè)具有“輸入+輸出”的功能野崇,類似于函數(shù)的結(jié)構(gòu)称开,如下:
getBlogById"?resultType="Blog"?parameterType=”int”>
SELECT id,title,author,content
FROM blog
WHERE id=#{id}
這里,parameterType表示了輸入的參數(shù)類型乓梨,resultType表示了輸出的參數(shù)類型鳖轰。回應(yīng)上文扶镀,如果我們想防止SQL注入蕴侣,理所當(dāng)然地要在輸入?yún)?shù)上下功夫。上面代碼中黃色高亮即輸入?yún)?shù)在SQL中拼接的部分狈惫,傳入?yún)?shù)后睛蛛,打印出執(zhí)行的SQL語句,會(huì)看到SQL是這樣的:
SELECT id,title,author,content FROM blog WHERE id =??
不管輸入什么參數(shù)胧谈,打印出的SQL都是這樣的忆肾。這是因?yàn)镸yBatis啟用了預(yù)編譯功能,在SQL執(zhí)行前菱肖,會(huì)先將上面的SQL發(fā)送給數(shù)據(jù)庫進(jìn)行編譯客冈;執(zhí)行時(shí),直接使用編譯好的SQL稳强,替換占位符“?”就可以了场仲。因?yàn)镾QL注入只能對(duì)編譯過程起作用和悦,所以這樣的方式就很好地避免了SQL注入的問題。
【底層實(shí)現(xiàn)原理】MyBatis是如何做到SQL預(yù)編譯的呢渠缕?其實(shí)在框架底層鸽素,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類亦鳞,它的對(duì)象包含了編譯好的SQL語句馍忽。這種“準(zhǔn)備好”的方式不僅能提高安全性,而且在多次執(zhí)行同一個(gè)SQL時(shí)燕差,能夠提高效率遭笋。原因是SQL已編譯好,再次執(zhí)行時(shí)無需再編譯徒探。
話說回來瓦呼,是否我們使用MyBatis就一定可以防止SQL注入呢?當(dāng)然不是测暗,請(qǐng)看下面的代碼:
getBlogById"?resultType="Blog"?parameterType=”int”>
SELECT id,title,author,content
FROM blog
WHERE id=${id}
仔細(xì)觀察央串,內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱恕?b>${xxx}”。如果我們給參數(shù)“id”賦值為“3”偷溺,將SQL打印出來是這樣的:
SELECT id,title,author,content FROM blog WHERE id =?3
(上面的對(duì)比示例是我自己添加的蹋辅,為了與前面的示例形成鮮明的對(duì)比。)
orderBlog"?resultType="Blog"?parameterType=”map”>
SELECT id,title,author,content
FROM blog
ORDER BY?${orderParam}
仔細(xì)觀察挫掏,內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱恕?b>${xxx}”。如果我們給參數(shù)“orderParam”賦值為“id”秩命,將SQL打印出來是這樣的:
SELECT id,title,author,content FROM blog ORDER BY?id
顯然尉共,這樣是無法阻止SQL注入的。在MyBatis中弃锐,“${xxx}”這樣格式的參數(shù)會(huì)直接參與SQL編譯袄友,從而不能避免注入攻擊。但涉及到動(dòng)態(tài)表名和列名時(shí)霹菊,只能使用“${xxx}”這樣的參數(shù)格式剧蚣。所以,這樣的參數(shù)需要我們?cè)诖a中手工進(jìn)行處理來防止注入旋廷。
【結(jié)論】在編寫MyBatis的映射語句時(shí)鸠按,盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù)饶碘,要手工地做好過濾工作目尖,來防止SQL注入攻擊。
#{}:相當(dāng)于JDBC中的PreparedStatement
${}:是輸出變量的值
簡(jiǎn)單說扎运,#{}是經(jīng)過預(yù)編譯的瑟曲,是安全的饮戳;${}是未經(jīng)過預(yù)編譯的,僅僅是取變量的值洞拨,是非安全的扯罐,存在SQL注入。
如果我們order by語句后用了${}烦衣,那么不做任何處理的時(shí)候是存在SQL注入危險(xiǎn)的篮赢。你說怎么防止,那我只能悲慘的告訴你琉挖,你得手動(dòng)處理過濾一下輸入的內(nèi)容启泣。如判斷一下輸入的參數(shù)的長(zhǎng)度是否正常(注入語句一般很長(zhǎng)),更精確的過濾則可以查詢一下輸入的參數(shù)是否在預(yù)期的參數(shù)集合中示辈。
