MyBatis中防止SQL注入

SQL注入是一種代碼注入技術(shù)捶索,用于攻擊數(shù)據(jù)驅(qū)動(dòng)的應(yīng)用,惡意的SQL語句被插入到執(zhí)行的實(shí)體字段中(例如狈蚤,為了轉(zhuǎn)儲(chǔ)數(shù)據(jù)庫內(nèi)容給攻擊者)孩锡。[摘自]SQL injection - Wikipedia

SQL注入,大家都不陌生大莫,是一種常見的攻擊方式。攻擊者在界面的表單信息或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵參數(shù)檢驗(yàn)不足的應(yīng)用程序挎袜。所以,在我們的應(yīng)用中需要做一些工作肥惭,來防備這樣的攻擊方式盯仪。在一些安全性要求很高的應(yīng)用中(比如銀行軟件),經(jīng)常使用將SQL語句全部替換為存儲(chǔ)過程這樣的方式蜜葱,來防止SQL注入全景。這當(dāng)然是一種很安全的方式,但我們平時(shí)開發(fā)中牵囤,可能不需要這種死板的方式爸黄。

MyBatis框架作為一款半自動(dòng)化的持久層框架,其SQL語句都要我們自己手動(dòng)編寫揭鳞,這個(gè)時(shí)候當(dāng)然需要防止SQL注入炕贵。其實(shí),MyBatis的SQL是一個(gè)具有“輸入+輸出”的功能野崇,類似于函數(shù)的結(jié)構(gòu)称开,如下:

getBlogById"?resultType="Blog"?parameterType=”int”>

SELECT id,title,author,content

FROM blog

WHERE id=#{id}

這里,parameterType表示了輸入的參數(shù)類型乓梨,resultType表示了輸出的參數(shù)類型鳖轰。回應(yīng)上文扶镀,如果我們想防止SQL注入蕴侣,理所當(dāng)然地要在輸入?yún)?shù)上下功夫。上面代碼中黃色高亮即輸入?yún)?shù)在SQL中拼接的部分狈惫,傳入?yún)?shù)后睛蛛,打印出執(zhí)行的SQL語句,會(huì)看到SQL是這樣的:

SELECT id,title,author,content FROM blog WHERE id =??

不管輸入什么參數(shù)胧谈,打印出的SQL都是這樣的忆肾。這是因?yàn)镸yBatis啟用了預(yù)編譯功能,在SQL執(zhí)行前菱肖,會(huì)先將上面的SQL發(fā)送給數(shù)據(jù)庫進(jìn)行編譯客冈;執(zhí)行時(shí),直接使用編譯好的SQL稳强,替換占位符“?”就可以了场仲。因?yàn)镾QL注入只能對(duì)編譯過程起作用和悦,所以這樣的方式就很好地避免了SQL注入的問題。

【底層實(shí)現(xiàn)原理】MyBatis是如何做到SQL預(yù)編譯的呢渠缕?其實(shí)在框架底層鸽素,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類亦鳞,它的對(duì)象包含了編譯好的SQL語句馍忽。這種“準(zhǔn)備好”的方式不僅能提高安全性,而且在多次執(zhí)行同一個(gè)SQL時(shí)燕差,能夠提高效率遭笋。原因是SQL已編譯好,再次執(zhí)行時(shí)無需再編譯徒探。

話說回來瓦呼,是否我們使用MyBatis就一定可以防止SQL注入呢?當(dāng)然不是测暗,請(qǐng)看下面的代碼:

getBlogById"?resultType="Blog"?parameterType=”int”>

SELECT id,title,author,content

FROM blog

WHERE id=${id}

仔細(xì)觀察央串,內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱恕?b>${xxx}”。如果我們給參數(shù)“id”賦值為“3”偷溺,將SQL打印出來是這樣的:

SELECT id,title,author,content FROM blog WHERE id =?3

(上面的對(duì)比示例是我自己添加的蹋辅,為了與前面的示例形成鮮明的對(duì)比。)

orderBlog"?resultType="Blog"?parameterType=”map”>

SELECT id,title,author,content

FROM blog

ORDER BY?${orderParam}

仔細(xì)觀察挫掏,內(nèi)聯(lián)參數(shù)的格式由“#{xxx}”變?yōu)榱恕?b>${xxx}”。如果我們給參數(shù)“orderParam”賦值為“id”秩命,將SQL打印出來是這樣的:

SELECT id,title,author,content FROM blog ORDER BY?id

顯然尉共,這樣是無法阻止SQL注入的。在MyBatis中弃锐,“${xxx}”這樣格式的參數(shù)會(huì)直接參與SQL編譯袄友,從而不能避免注入攻擊。但涉及到動(dòng)態(tài)表名和列名時(shí)霹菊,只能使用“${xxx}”這樣的參數(shù)格式剧蚣。所以,這樣的參數(shù)需要我們?cè)诖a中手工進(jìn)行處理來防止注入旋廷。

【結(jié)論】在編寫MyBatis的映射語句時(shí)鸠按,盡量采用“#{xxx}”這樣的格式。若不得不使用“${xxx}”這樣的參數(shù)饶碘,要手工地做好過濾工作目尖,來防止SQL注入攻擊。

#{}:相當(dāng)于JDBC中的PreparedStatement

${}:是輸出變量的值

簡(jiǎn)單說扎运,#{}是經(jīng)過預(yù)編譯的瑟曲,是安全的饮戳;${}是未經(jīng)過預(yù)編譯的,僅僅是取變量的值洞拨,是非安全的扯罐,存在SQL注入。

如果我們order by語句后用了${}烦衣,那么不做任何處理的時(shí)候是存在SQL注入危險(xiǎn)的篮赢。你說怎么防止,那我只能悲慘的告訴你琉挖,你得手動(dòng)處理過濾一下輸入的內(nèi)容启泣。如判斷一下輸入的參數(shù)的長(zhǎng)度是否正常(注入語句一般很長(zhǎng)),更精確的過濾則可以查詢一下輸入的參數(shù)是否在預(yù)期的參數(shù)集合中示辈。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末寥茫,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子矾麻,更是在濱河造成了極大的恐慌纱耻,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,734評(píng)論 6 505
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件险耀,死亡現(xiàn)場(chǎng)離奇詭異弄喘,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)甩牺,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,931評(píng)論 3 394
  • 文/潘曉璐 我一進(jìn)店門蘑志,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人贬派,你說我怎么就攤上這事急但。” “怎么了搞乏?”我有些...
    開封第一講書人閱讀 164,133評(píng)論 0 354
  • 文/不壞的土叔 我叫張陵波桩,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我请敦,道長(zhǎng)镐躲,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,532評(píng)論 1 293
  • 正文 為了忘掉前任侍筛,我火速辦了婚禮萤皂,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘勾笆。我一直安慰自己敌蚜,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,585評(píng)論 6 392
  • 文/花漫 我一把揭開白布窝爪。 她就那樣靜靜地躺著弛车,像睡著了一般齐媒。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上纷跛,一...
    開封第一講書人閱讀 51,462評(píng)論 1 302
  • 那天喻括,我揣著相機(jī)與錄音,去河邊找鬼贫奠。 笑死唬血,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的唤崭。 我是一名探鬼主播拷恨,決...
    沈念sama閱讀 40,262評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼谢肾!你這毒婦竟也來了腕侄?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,153評(píng)論 0 276
  • 序言:老撾萬榮一對(duì)情侶失蹤芦疏,失蹤者是張志新(化名)和其女友劉穎冕杠,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體酸茴,經(jīng)...
    沈念sama閱讀 45,587評(píng)論 1 314
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡分预,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,792評(píng)論 3 336
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了薪捍。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片笼痹。...
    茶點(diǎn)故事閱讀 39,919評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖飘诗,靈堂內(nèi)的尸體忽然破棺而出与倡,到底是詐尸還是另有隱情,我是刑警寧澤昆稿,帶...
    沈念sama閱讀 35,635評(píng)論 5 345
  • 正文 年R本政府宣布,位于F島的核電站息拜,受9級(jí)特大地震影響溉潭,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜少欺,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,237評(píng)論 3 329
  • 文/蒙蒙 一喳瓣、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧赞别,春花似錦畏陕、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,855評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽犹芹。三九已至,卻和暖如春鞠绰,著一層夾襖步出監(jiān)牢的瞬間腰埂,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,983評(píng)論 1 269
  • 我被黑心中介騙來泰國打工蜈膨, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留屿笼,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 48,048評(píng)論 3 370
  • 正文 我出身青樓翁巍,卻偏偏與公主長(zhǎng)得像驴一,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子灶壶,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,864評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容