MyBatis中避免注入攻擊
直接使用 JDBC 的場景,如果程式碼中存在拼接 SQL 語句,那麼很有可能會產生注入,如
String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql);
安全的寫法是使用 引數化查詢 ( parameterized queries ),即 SQL 語句中使用引數繫結( ? 佔位符 ) 和 PreparedStatement
,如
// use ? to bind variablesString sql = "SELECT * FROM users WHERE name= ? "; PreparedStatement ps = connection.prepareStatement(sql); // 引數 index 從 1 開始 ps.setString(1, name);
使用PreparedStatement的好處是:
正常情況下,使用者的輸入是作為引數值的,而在 SQL 注入中,使用者的輸入是作為 SQL 指令的一部分,會被資料庫進行編譯/解釋執行。當使用了 PreparedStatement
,帶佔位符 ( ? ) 的 sql 語句只會被編譯一次,之後執行只是將佔位符替換為使用者輸入,並不會再次編譯/解釋,因此從根本上防止了 SQL 注入問題。
言歸正傳,現在說一說Mybatis中防止注入攻擊。
在 MyBatis 中,使用 XML 檔案 或 Annotation 來進行配置和對映,將 interfaces 和 Java POJOs (Plain Old Java Objects) 對映到 database records
XML 例子
Mapper Interface
@Mapper public interface UserMapper{ User getById(int id); }
XML 配置檔案
<select id="getById"resultType = "org.example.User" > SELECT * FROM user WHERE id = #{id} </select>
Annotation 例子
@Mapper
public interface UserMapper {
@Select("SELECT * FROM user WHERE id= #{id}")
User getById(@Param("id") int id);
}
使用 #{}
語法時,MyBatis 會自動生成 PreparedStatement
,使用引數繫結 ( ?
) 的方式來設定值,因此 #{}
可以有效防止 SQL 注入。
而使用 ${}
語法時,MyBatis 會直接注入原始字串,即相當於拼接字串,因而會導致 SQL 注入,如
<select id="getByName" resultType="org.example.User"> SELECT * FROM user WHERE name = '${name}' limit 1 </select>
name 值為 ' or '1'='1
,實際執行的語句為
SELECT * FROM user WHERE name = ''or '1'='1' limit 1
因此建議儘量使用 #{}
。
但有些時候,如 order by 語句,使用 #{}
會導致出錯,如
ORDER BY #{sortBy}
sortBy 引數值為 name
,替換後會成為
ORDER BY "name"
即以字串 “name” 來排序,而非按照 name 欄位排序
這種情況就需要使用 ${}
ORDER BY ${sortBy}
使用了 ${}
後,使用者需要自行過濾輸入,如
<select id="getUserListSortBy" resultType="org.example.User"> SELECT * FROM user <if test="sortBy == 'name' or sortBy == 'email'"> order by ${sortBy} </if> </select>
因為 Mybatis 不支援 else,需要預設值的情況,可以使用 choose(when,otherwise)
<select id="getUserListSortBy" resultType="org.example.User"> SELECT * FROM user <choose> <when test="sortBy == 'name' or sortBy == 'email'"> order by ${sortBy} </when> <otherwise> order by name </otherwise> </choose> </select>
除了 orderby
之外,還有一些可能會使用到 ${}
情況,可以使用其他方法避免,如
like 語句
-
如需要使用萬用字元 ( wildcard characters
%
和_
) ,可以 -
在程式碼層,在引數值兩邊加上
%
,然後再使用#{}
-
使用
bind
標籤來構造新引數,然後再使用#{}
<select id="getUserListLike" resultType="org.example.User"> <bind name="pattern" value="'%' + name + '%'"/> SELECT * FROM user WHERE name LIKE #{pattern} </select>
<select id="getUserListLikeConcat" resultType="org.example.User"> SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%') </select>
除了注入問題之外,這裡還需要對使用者的輸入進行過濾,不允許有萬用字元,否則在表中資料量較多的時候,假設使用者輸入為 %%
,會進行全表模糊查詢。