当前位置: 首页 > article >正文

【Web】基于Mybatis的SQL注入漏洞利用点学习笔记

目录

MyBatis传参占位符区别

不能直接用#{}的情况

in多参数值查询

like %%模糊查询

order by列名参数化


MyBatis传参占位符区别

在 MyBatis 中,#{}${} 都是用于传参的占位符,但它们之间有很大的区别,主要体现在两个方面:参数值的类型和 SQL 注入问题。

1.参数值的类型:

 ①  #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,会对传入的参数进行类型处理,确保传递的参数类型正确。一般来说,我们在使用 MyBatis 进行 CRUD 操作时,都应该使用 #{} 来传递参数,这样可以有效地避免 SQL 注入问题。
 ②  ${} 是字符串拼接,表示在 SQL 语句中直接插入传入的参数值,不会对传入的参数类型进行处理。如果传入的参数是字符串类型,那么在 SQL 语句中使用时,需要使用单引号将其括起来,否则会抛出 SQL 语法错误异常。因此,在使用 ${} 时,需要特别注意避免 SQL 注入问题。

简而言之:

如果传入Z3r'4y
# PrepareStatement ? 填充参数 类型化 转义处理 返回一个'Z3r\'4y'
$ Statement 拼接参数 返回一个Z3r'4y

2.SQL 注入问题:

 ①  #{} 可以避免 SQL 注入问题,因为它会对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。
 ②  ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。

举个例子:

<!-- 使用#,不存在漏洞;默认都是PREPARED-->
    <select id="findUserById" resultType="com.example.mybaits.entity.User" statementType="PREPARED">
        SELECT * FROM tbuser where id= #{id}
    </select>

<!-- 使用$,存在注入漏洞 -->
    <select id="findUserByName" resultType="com.example.mybaits.entity.User">
        SELECT * FROM tbuser where userName='${username}'
    </select>

总结一下:原则就是能用#{}就不要用${}

不能直接用#{}的情况

因为一些sql语言的性质,一些情况不能直接用#{}(传参强制被引号包裹导致sql语义错误)

比如下面这种情况:

如果直接SELECT * FROM tbuser where id in (#{ids})并传参ids=1,2,3就会拼接成:

SELECT * FROM tbuser where id in ('1,2,3');

从而出现只调出一行的谬误

解决方案如下:

in多参数值查询

 <!-- in查询,错误写法 -->
    <select id="findUserInIds" resultType="com.example.mybaits.entity.User" >
        SELECT * FROM tbuser where id in (${ids})
    </select>

    <!-- in查询,正确写法 -->
    <select id="findUserInIdsRight" resultType="com.example.mybaits.entity.User" >
        SELECT * FROM tbuser where id in
        <foreach collection="list" item="ids" open="(" close=")" separator=",">
            #{ids}
        </foreach>
    </select>

like %%模糊查询

 <!-- 模糊查询,错误写法 -->

<select id="findUserLikeName" resultType="com.example.mybaits.entity.User">
        SELECT * FROM tbuser where userName like '%${username}%'
    </select>

 <!-- 模糊查询,正确写法 -->

<select id="findUserLikeName" resultType="com.example.mybaits.entity.User">
        SELECT * FROM tbuser where userName like concat('%',#{username}, '%')
    </select>

order by列名参数化

<!--动态指定列名排序,有注入漏洞-->

<select id="allUserSeq" resultType="com.example.mybaits.entity.User">
    SELECT *FROM tbuser order by ${colName}
</select>

基于MyBatis并不能很好解决这种注入漏洞


http://www.kler.cn/a/233275.html

相关文章:

  • Shell 脚本中的大小写陷阱:为什么 ${PWD} 而不是 ${pwd}?
  • aws-athena查询语句总结
  • 穿越数据迷宫:C++哈希表的奇幻旅程
  • C++ 编程基础(6)作用域 | 6.3、类作用域
  • StructuredStreaming (一)
  • [Linux] Linux信号捕捉
  • 图书商城系统
  • 机器学习系列——(二十二)结语
  • Windows下搭建Redis Sentinel
  • 低代码流程引擎在数字设计平台的应用:简化创作流程,提升生产效率
  • CSS高级技巧
  • 使用python-numpy实现一个简单神经网络
  • [疑难杂症2024-001] java多线程运行时遇到java.util.ConcurrentModificationException的解决方案
  • 如何从 Windows 硬盘恢复丢失或删除的照片
  • 网课:[NOIP2017]奶酪——牛客(疑问)
  • 无人机图像识别技术研究及应用,无人机AI算法技术理论,无人机飞行控制识别算法详解
  • uTools工具使用
  • ChatGPT升级版本GPT-4V(ision)支持多模态语音和图像
  • uni-app 经验分享,从入门到离职(年度实战总结:经验篇)——上传图片以及小程序隐私保护指引设置
  • [Java][算法 双指针]Day 02---LeetCode 热题 100---04~07
  • [word] word中怎么插入另外一个word文档 #媒体#职场发展
  • 【技巧】PCB布局技巧:带条纹的电容
  • 1041.困于环中的机器人(Java)
  • spring上下文简单用法
  • Android 环境搭建
  • WPS安装mathtype教程