Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。
在java项目中,mybatis的sql语句通常是写在xml文件中。编写xml语句时候,支持两种参数符号,一种是#,一种是KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 4: ,其中#会使用预编译,而是拼接sql。在Mybatis中,sql注入很容易产生于以下三种情况:
1、使用模糊查询
select * from student where name like '%#{张三}%'
上面的sql语句使用了模糊查询,但是这个sql在mybatis中会报错,因为没法对其进行预编译,但是改为$时就正确了,但是这样会造成sql注入的漏洞,因此推荐下面的写法:
select * from student where name like concat('%', #{张三}, '%"}
2、in之后跟多个参数
在in之后的多个查询参数使用#符号时,同样会报错
select * from student where id in (#{ids})
正确写法是利用foreach,而不是将#换成$,如下所示:
select * from student where id in
#{id}
3、order by之后
这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。