[[425032]]
sql 注入就是用户通过输入的参数,拼接到原先的注入 sql 中,成为 sql 的避开一部分,从而影响 sql 的注入功能和执行结果
比如原先 sql 如下
- select * from user where name='用户名' and password='密码';
用户输入
- name:臻大虾'-- '注释
- password:密码
那最终的避开结果猜猜是什么?
- select * from user where name='臻大虾'-- '注释' and password='密码';
两个-- 代表注释,所以这条 sql 只需要输入用户名,注入就可以获取用户信息,避开跳过了密码的注入校验
来个厉害的,比如用户输入以下参数
- name:臻大虾
- password:'; drop table user;-- '注释
最终的避开 sql:
- select * from user where name='臻大虾' and password=''; drop table user;-- '注释';
user 表居然被删除了,看到这,注入此时的你可能想原地爆炸。
使用预编译,这样传入的参数,会被当作字符串,也就是被引号包起来
拿刚才的例子,用户输入
- name:臻大虾'-- '注释
- password:密码
如果使用了预编译,那最终的 sql
- select * from user where name='臻大虾\'-- \'注释' and password='密码';
参数中的引号被转义,从而避免成为 sql 的一部分。
预编译获取参数是根据#,而$ 是拼接的意思
#{ }:解析为预编译语句的一个参数占位符
${ }:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值
比如传入:'臻大虾' or 1=1
- 1、SELECT * FROM user WHERE name=#{ name} //SELECT * FROM user WHERE name='\'臻大虾\' or 1=1'
- 2、SELECT * FROM user WHERE name=${ name} //SELECT * FROM user WHERE name='臻大虾' or 1=1
但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用
还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?
like
- select * from user where name like '%#{ name}%' //会报错
- select * from user where name like '%${ name}%' //正常
正确写法
使用 mysql 的字符串拼接函数 concat
- select * from user where name like concat('%',#{ name},'%')
in
正确写法,使用 foreach
- @Select("<script>" +
- "select * from user where id in "+
- "<foreach item='item' index='index' collection='userIds' open='(' separator=',' close=')'> " +
- "#{ item}" +
- "</foreach>"+
- "</script>")
- List<User> getByIds(@Param("userIds") List<Long> userIds);
order by
有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单
比如
- List<String> allowSortColumnList= Lists.newArrayList("age","score");
- if(!allowSortColumnList.contains(sortParam)){
- throw new RuntimeException("can not sort by "+sortParam);
- }
责任编辑:张燕妮 来源: 臻大虾 开发技能SQL
(责任编辑:探索)
海外客商抢抓中国新春机遇 境外消费回流对进口消费产生一定带动作用
湖南张家界市推进财政业务和党风廉政建设工作两手抓两手硬工作格局
中国经济占全球经济比重将持续增加 新的全球经济力量布局正在形成