本文介绍了如何对使用MyBatis的系统进行安全加固,重点在于防止因动态SQL导致的SQL注入问题。通过解析原始SQL,将$符号标记的动态部分转化为预编译参数或使用特定关键字标识,确保安全执行。对于MyBatis,可以通过实现拦截器并在配置文件中注册,以在执行prepare阶段修改SQL,避免直接拼接导致的安全风险。
对于mapping框架,其实预编译语句已经解决了绝大多数的sql注入。
但是对mapping如果支持动态语句,就和程序拚接一样存在sql注入的可能。所以在ibatis[mybatis]中,安全加固主要针对 $ 符号拚接的动态语句
select * from userinfo where name = {#name} oder by $orderColumn$ $sortMode$
这是一种非常典型的场景,因为可以按多种方式排序,所以orderColumn是动态传入的,同样sortMode也是动态传入的,这样的解释语句时除了
name = {#name} 可以确定为 name = ?这样的预编译语名,不存在sql注入的风险,orderColumn 和sortMode都有可能传入特殊变量构造成危险sql。
因为这两个变量字符串是动态拚接到语句上:
set orderColumn = "name; delete from userinfo;"; 构造成 select * from userinfo where name = ? oder by name;delete from userinfo; xxx
所以在加固时主要针对$进行拦截 。
在ibaties中,因为没有拦截器,主要是hack源码,重新打包,入口在SimpleDynamicSql类的getSql方法,这里我们获取原始的sql后,根据$对sql切分:
String[] tokens = sql.split('$');
我们要保证$xxx$中的变量一定是变量形式传给sql语句而不是和sql直接拚接,有两种方案&#
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
