Mybatis如何防止SQL隱碼攻擊
什麼是SQL隱碼攻擊
SQL隱碼攻擊,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或URL上輸入一些奇怪的SQL片段(例如“or ‘1’=’1’”這樣的語句),有可能入侵引數檢驗不足的應用程式。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。
例如攻擊者會將passwd的引數輸入為“ ’ or ‘1’ = '1 ”;那麼直接使用Statement,則列印出來的SQL語句如下:
select * from tb_name = '隨意' and passwd = '' or '1' = '1';
因為’1’='1’肯定成立,所以可以任何通過驗證.
mybatis中的#和$的區別:
先看兩個SQL語句:
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>
1、#將傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號。
如:where username=#{username},如果傳入的值是111,那麼解析成sql時的值為where username=“111”, 如果傳入的值是id,則解析成的sql為where username=“id”.
2、$
將傳入的資料直接顯示生成在sql中。
如:where username=$
{username},如果傳入的值是111,那麼解析成sql時的值為where username=111;
如果傳入的值是;drop table user;,則解析成的sql為:select id, username, password, role from user where username=;drop table user;
3、#方式能夠很大程度防止sql注入,$
方式無法防止Sql注入。
4、$
方式一般用於傳入資料庫物件,例如傳入表名.
5、一般能用#的就別用$
,若不得不使用“$
{xxx}”這樣的引數,要手工地做好過濾工作,來防止sql注入攻擊。
6、在MyBatis中,“$
{xxx}”這樣格式的引數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用“$
{xxx}”這樣的引數格式。所以,這樣的引數需要我們在程式碼中手工進行處理來防止注入。
【結論】在編寫MyBatis的對映語句時,儘量採用“#{xxx}”這樣的格式。若不得不使用“$
{xxx}”這樣的引數,要手工地做好過濾工作,來防止SQL隱碼攻擊。
mybatis是如何做到防止sql注入的
MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL隱碼攻擊。其實,MyBatis的SQL是一個具有“輸入+輸出”的功能,類似於函式的結構,參考上面的兩個例子。其中,parameterType表示了輸入的引數型別,resultType表示了輸出的引數型別。回應上文,如果我們想防止SQL隱碼攻擊,理所當然地要在輸入引數上下功夫。上面程式碼中使用#的即輸入引數在SQL中拼接的部分,傳入引數後,列印出執行的SQL語句,會看到SQL是這樣的:
select id, username, password, role from user where username=? and password=?
不管輸入什麼引數,列印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL傳送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符“?”就可以了。因為SQL隱碼攻擊只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL隱碼攻擊的問題。
【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的物件包含了編譯好的SQL語句。這種“準備好”的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。
//安全的,預編譯了的
Connection conn = getConn();//獲得連線
String sql = "select id, username, password, role from user where id=?"; //執行sql前會預編譯號該條語句
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, id);
ResultSet rs=pstmt.executeUpdate();
......
簡單說,#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL隱碼攻擊
PreparedStatement的優點
1.Statement 需要進行字串拼接,可讀性和維護性比較差
String sql = "insert into hero values(null,"+"'提莫'"+","+313.0f+","+50+")";
PreparedStatement 使用引數設定,可讀性好,不易犯錯
String sql = "insert into hero values(null,?,?,?)";
2.PreparedStatement有預編譯機制,效能比Statement更快
3.防止SQL隱碼攻擊式攻擊
假設name是使用者提交來的資料
String name = "'蓋倫' OR 1=1";
使用Statement就需要進行字串拼接
拼接出來的語句是:
select * from hero where name = '蓋倫' OR 1=1
因為有OR 1=1,這是恆成立的
那麼就會把所有的英雄都查出來,而不只是蓋倫
如果Hero表裡的資料是海量的,比如幾百萬條,把這個表裡的資料全部查出來會讓資料庫負載變高,CPU100%,記憶體消耗光,響應變得極其緩慢
而PreparedStatement使用的是引數設定,就不會有這個問題
列印的SQL語句為:
select * from hero where name = "'蓋倫' OR 1=1";
相關文章
- 如何防止SQL隱碼攻擊?網路安全防禦方法SQL
- Mybatis-Plus如何自定義SQL隱碼攻擊器?MyBatisSQL
- SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊?SQL
- 在Linux中,如何檢測和防止SQL隱碼攻擊和跨站指令碼(XSS)攻擊?LinuxSQL指令碼
- 防止web專案中的SQL隱碼攻擊MUHEWebSQL
- SQL隱碼攻擊SQL
- 預編譯SQL為什麼能夠防止SQL隱碼攻擊編譯SQL
- SQL隱碼攻擊(pikachu)SQL
- SQL隱碼攻擊方法SQL
- MYSQL SQL隱碼攻擊MySql
- 前端如何預防SQL隱碼攻擊?前端SQL
- SQL隱碼攻擊及如何解決SQL
- SQL隱碼攻擊導圖SQL
- SQL隱碼攻擊語句SQL
- pikachu-SQL隱碼攻擊SQL
- SQL隱碼攻擊總結SQL
- XSS與SQL隱碼攻擊SQL
- DVWA-SQL Injection(SQL隱碼攻擊)SQL
- 【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!SQL
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]JavaWebSQL
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]JavaWebSQL
- 如何做好防護SQL隱碼攻擊漏洞SQL
- SQL隱碼攻擊關聯分析SQL
- Nacos Derby SQL隱碼攻擊漏洞SQL
- MSSQL SQL隱碼攻擊 總結SQL
- Oracle SQL隱碼攻擊 總結OracleSQL
- SQL隱碼攻擊-堆疊注入SQL
- SQL隱碼攻擊基礎原理SQL
- 【網路安全入門】SQL隱碼攻擊是什麼?SQL隱碼攻擊危害有哪些?SQL
- SQL隱碼攻擊原理是什麼?如何防範?SQL
- SQL隱碼攻擊分為幾類?如何防禦?SQL
- 什麼是SQL隱碼攻擊(SQLi)SQL
- SQL隱碼攻擊讀寫檔案SQL
- Mura CMS processAsyncObject SQL隱碼攻擊漏洞ObjectSQL
- SQL隱碼攻擊速查表(上)SQL
- 預防SQL隱碼攻擊筆記SQL筆記
- SQL隱碼攻擊——時間盲注SQL
- SQL隱碼攻擊基礎入門SQL