ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【安全】mybatis中#{}和${}导致sql注入题目及解决办法 [打印本页]

---

作者: 曂沅仴駦    时间: 2024-10-18 17:24
标题: 【安全】mybatis中#{}和${}导致sql注入题目及解决办法
0.题目

使用mybatis的时候遇到了#{}和${}大概导致sql注入的题目
1.预先了解

(1)#{}

• #{} 底层通过prepareStatement对当前传入的sql进行了预编译，一个 #{ } 被解析为一个参数占位符 ?;
  
• #{} 解析之后会将String类型的数据自动加上引号，其他数据类型不会
  
• #{} 很大程度上可以防止sql注入（sql注入是发生在编译的过程中，因为恶意注入了某些特殊字符，末了被编译成了恶意的执行操作）
  
• #{} 一般用在insert的字段和where条件中，用来防止sql注入
  

(2)${}

• ${}仅仅为一个纯粹的 string 更换，在动态sql解析阶段将会进行变量更换
  
• ${} 解析之后是什么就是什么
  
• ${} 用在sql字符串拼接中，使用时必要非常谨慎。但是像一些没有直接和系统用户接触的功能如动态切换表名，库名呀就不存在注入题目了。一旦要使用在要被用户直接接触的sql中，肯定要注意！
  

2.举个栗子

(1)${}

1）sql注入

1. @Select("select * from user where name = ${name}")
2. List<User> sqltest1(String name);

复制代码

假如传进去的参数是

1. name = "1' OR 1='1";

复制代码

那么数据库末了执行的语句则为

1. select * from user where name = '1' OR 1='1 ';

复制代码

会直接导致sql注入，被攻击者成功登录
2）语句堵塞

1. @Select("select * from user order by ${column}")
2. List<User> sqltest1(String column);

复制代码

假如传进去的参数是

1. column = "id,(select 1 from (select sleep(1000))a)"

复制代码

那么数据库末了执行的语句则为

1. select * from user order by id,(select 1 from (select sleep(1000))a)

复制代码

可以发现步伐会壅闭1000秒，被攻击者造成语句堵塞
(2)#{}

1）无法执行

1.    @Select("select * from user order by #{column}")
2.     List<User> sqltest1(String column);

复制代码

假如传进去的参数是

1. column = "name";

复制代码

那么#{}会自动给参数加上单引号，数据库语句变成

1. select * from user order by 'name'

复制代码

无法正常执行
2）无法执行

1. @Select("select * from user where name like '%#{name}%'")
2. List<User> sqltest2(String name);

复制代码

假如传入的参数为

1. name = "yin";

复制代码

那么数据库语句就变成

1. select * from user where name like '%'name'%'

复制代码

直接报错，无法执行
3.解决办法

正常来看，一般的解决方法可以使用#{}来取代KaTeX parse error: Expected 'EOF', got '#' at position 14: {}，但是有的语句假如使用#̲{}会造成语句错误（因为#{}…{}的有动态指定order
by 排序字段、和like模糊匹配，但是这种方式会带来sql注入题目。具体解决方法如下：
（1）动态指定order by 排序字段

自定义一个Map，存入的key为前端传过来的值，value则是到场自定义排序的字段名。真正进行自定义排序的时候使用这个map即可。

1. // key为前端传的值，value为数据库对应的列值
2.     public static Map<String,String> orderByKeyMap = new HashMap<String,String>(){
3.         {
4.             put("userId","id");
5.             put("name","name");
6.         }
10. @Select("select * from user order by #{column}")
11. List<User> sqltest1(String column);
15. List<User> users = mapper.sqltest3(User.orderByKeyMap.get("name"));

复制代码

这样就不会堕落了
（2）like模糊匹配

可以使用concat来拼接#{}的字符串，这样就不会报错，也不会导致索引失效

1. @Select("select * from user where name like concat('%',#{name},'%')")
2. List<User> sqltest2(String name);

复制代码

参入参数

1. name = "yin";

复制代码

执行的语句就编程

1. select * from user where name like concat('%','yin','%');

复制代码

这样就解决题目了
4.如何防止sql注入？

1. 使用预编译机制

只管用预编译机制，少用字符串拼接的方式传参，它是sql注入题目的根源。
2. 要对特殊字符转义

有些特殊字符，比如：%作为like语句中的参数时，要对其进行转义处置惩罚。
3. 要捕获非常

必要对所有的非常环境进行捕获，切记接口直接返回非常信息，因为有些非常信息中包含了sql信息，包罗：库名，表名，字段名等。攻击者拿着这些信息，就能通过sql注入为所欲为的攻击你的数据库了。现在比较主流的做法是，有个专门的网关服务，它同一暴露对外接口。用户哀求接口时先颠末它，再由它将哀求转发给业务服务。这样做的利益是：能同一封装返回数据的返回体，而且假如出现非常，能返回同一的非常信息，隐藏敏感信息。此外还能做限流和权限控制。
4. 使用代码检测工具

使用sqlMap等代码检测工具，它能检测sql注入漏洞。
5. 要有监控

必要对数据库sql的执行环境进行监控，有非常环境，及时邮件或短信提醒。
6. 数据库账号需控制权限

对生产环境的数据库建立单独的账号，只分配DML相关权限，且不能访问系统表。切勿在步伐中直接使用管理员账号。
7. 代码review

建立代码review机制，能找出部门隐藏的题目，提升代码质量。
8. 使用其他手段处置惩罚

对于不能使用预编译传参时，要么开启druid的filter防火墙，要么自己写代码逻辑过滤掉所有大概的注入关键字。
学习计划安排

我一共分别了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~
这里我整合而且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，必要的小同伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！
假如你对网络安全入门感爱好，那么你必要的话可以
点击这里

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4