直接使用 JDBC 的場景,如果代碼中存在拼接 SQL 語句,那么很有可能會產生注入,如
String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql);
安全的寫法是使用 參數化查詢 ( parameterized queries ),即 SQL 語句中使用參數綁定( ? 占位符 ) 和 PreparedStatement,如
// use ? to bind variables String sql = "SELECT * FROM users WHERE name= ? "; PreparedStatement ps = connection.prepareStatement(sql); // 參數 index 從 1 開始 ps.setString(1, name);
使用PreparedStatement的好處是:
正常情況下,用戶的輸入是作為參數值的,而在 SQL 注入中,用戶的輸入是作為 SQL 指令的一部分,會被數據庫進行編譯/解釋執行。當使用了 PreparedStatement,帶占位符 ( ? ) 的 sql 語句只會被編譯一次,之后執行只是將占位符替換為用戶輸入,並不會再次編譯/解釋,因此從根本上防止了 SQL 注入問題。
言歸正傳,現在說一說Mybatis中防止注入攻擊。
在 MyBatis 中,使用 XML 文件 或 Annotation 來進行配置和映射,將 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records
XML 例子
Mapper Interface
@Mapper public interface UserMapper{ User getById(int id); }
XML 配置文件
<select id="getById" resultType = "org.example.User" > SELECT * FROM user WHERE id = #{id} </select>
Annotation 例子
@Mapper
public interface UserMapper {
@Select("SELECT * FROM user WHERE id= #{id}")
User getById(@Param("id") int id);
}
使用 #{} 語法時,MyBatis 會自動生成 PreparedStatement ,使用參數綁定 ( ?) 的方式來設置值,因此 #{} 可以有效防止 SQL 注入。
而使用 ${} 語法時,MyBatis 會直接注入原始字符串,即相當於拼接字符串,因而會導致 SQL 注入,如
<select id="getByName" resultType="org.example.User"> SELECT * FROM user WHERE name = '${name}' limit 1 </select>
name 值為 ' or '1'='1,實際執行的語句為
SELECT * FROM user WHERE name = ''or '1'='1' limit 1
因此建議盡量使用 #{}。
但有些時候,如 order by 語句,使用 #{} 會導致出錯,如
ORDER BY #{sortBy}
sortBy 參數值為 name ,替換后會成為
ORDER BY "name"
即以字符串 “name” 來排序,而非按照 name 字段排序
這種情況就需要使用 ${}
ORDER BY ${sortBy}
使用了 ${}后,使用者需要自行過濾輸入,如
<select id="getUserListSortBy" resultType="org.example.User"> SELECT * FROM user <if test="sortBy == 'name' or sortBy == 'email'"> order by ${sortBy} </if> </select>
因為 Mybatis 不支持 else,需要默認值的情況,可以使用 choose(when,otherwise)
<select id="getUserListSortBy" resultType="org.example.User"> SELECT * FROM user <choose> <when test="sortBy == 'name' or sortBy == 'email'"> order by ${sortBy} </when> <otherwise> order by name </otherwise> </choose> </select>
除了 orderby之外,還有一些可能會使用到 ${} 情況,可以使用其他方法避免,如
like 語句
-
如需要使用通配符 ( wildcard characters
%和_) ,可以 -
在代碼層,在參數值兩邊加上
%,然后再使用#{} -
使用
bind標簽來構造新參數,然后再使用#{}
<select id="getUserListLike" resultType="org.example.User"> <bind name="pattern" value="'%' + name + '%'"/> SELECT * FROM user WHERE name LIKE #{pattern} </select>
<select id="getUserListLikeConcat" resultType="org.example.User"> SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%') </select>
除了注入問題之外,這里還需要對用戶的輸入進行過濾,不允許有通配符,否則在表中數據量較多的時候,假設用戶輸入為 %%,會進行全表模糊查詢。