热门标签
热门文章
- 1Unity3D 碰撞盒忽略碰撞_rigid body怎么互相不碰撞
- 2git vscode下拉代码到本地推送到远程,本地分支远程分支关联、合并_vscodegit拉取代码到本地
- 3使用Coze(扣子)为公众号/企业微信接入:月之暗面 · Kimi聊天机器人(操作教程)_coze 微信
- 4怎样查看kafka写数据送到topic是否成功_kafka 查询消息是否发送成功
- 5AI绘画stability工具大全_stabilityai/stable-diffusion-2-inpainting
- 6自动驾驶-最优控制方法LQR的C语言工程实现【附Github源码链接】_github 有自动驾驶规划控制代码
- 7android技巧:dumpsys简化信息查看Activity结构_dumpsys activity activities
- 8Android蓝牙BLE开发_android ble
- 9OpenWrt:使用WinSCP传输文件_openwrt接winscp
- 10Gitblit服务搭建+Git安装+TortoiseGit安装(完整版)
当前位置: article > 正文
Mybatis的SQL注入隐患操作复现&防止SQL注入_select用$会导致sql注入吗
作者:知新_RL | 2024-05-06 17:15:08
赞
踩
select用$会导致sql注入吗
很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,下面将复现Mybatis的SQL注入问题并给出正确操作。
1.复现SQL注入操作
1.新建一张表(MqSQL):
SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for test -- ---------------------------- DROP TABLE IF EXISTS `test`; CREATE TABLE `test` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `age` int(10) UNSIGNED NULL DEFAULT NULL, `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`id`) USING BTREE, UNIQUE INDEX `age`(`age`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact; -- ---------------------------- -- Records of test -- ---------------------------- INSERT INTO `test` VALUES (1, 25, 'Robert'); SET FOREIGN_KEY_CHECKS = 1;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
2.执行like查询操作
select *
from test
where name like '%Ro%'
- 1
- 2
- 3
查询结果:
3.查询内容换成SQL注入语句
Robert';DROP TABLE test;--
- 1
这样SQL就变成:
select *
from test
where name like '%Robert';DROP TABLE test;--%'
- 1
- 2
- 3
执行后会发现我们的表被删掉了。这就是SQL注入漏洞。
2.解决SQL注入隐患
我们Mybatis中动态SQL有${}和#{}两种解释方式:
- ${}是直接将参数拼接到SQL中,这样就存在SQL注入的危险漏洞;
- #{}会先识别参数类型,是字符串的话会完全按照字符串去处理,也就是这种方式会直接将参数Robert’;DROP TABLE test;–当做一个字符串,这样就解决了SQL注入的问题。
如下使用${}:危险SQL
select *
from test
where name like '%${name}%'
- 1
- 2
- 3
使用#{}:安全SQL
select *
from test
where name like concat('%', #{name}, '%')
- 1
- 2
- 3
所以日常开发过程,一定要首选#{}方式,不得已情况下再使用${};
3.那么有人会问什么情况是不得已的情况?
比如如下场景:test表有很多临时表,这些临时表表名是随机生成的,我们不能将表名直接写死到SQL,所以需要使用动态参数,如下:
select *
from #{table_name}
where name like concat('%', #{name}, '%')
- 1
- 2
- 3
这种情况使用#{}方式就会报错,因为table_name会被解析成字符串如下:
select *
from 'test'
where name like concat('%', 'Ro', '%')
- 1
- 2
- 3
在执行SQL时就报错,语法错误
改为${}就可以了,那么这时候还存在SQL注入隐患吗?试一下:
select *
from test;DROP TABLE test;--
where name like concat('%', 'Ro', '%')
- 1
- 2
- 3
发现test表仍被删除掉了,所以只要使用了${}就存在SQL注入隐患。
解决办法:对使用${}的动态参数在Java端做好严格管控:
- 这种参数不应该由接口传入
- 由接口传入的应该做好参数校验,防止恶意参数
以上就是关于SQL注入隐患的解释及解决方案,作为后端开发人员要时刻保持安全意识,永远记住一点:对外开放的接口都不是绝对安全。
声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:【wpsshop博客】
推荐阅读
- 最开始要配置好数据库的连接pom.xml
[详细] 赞
踩
相关标签
