SQL注入
jdbc
需要将mysql-connector-java-8.0.28.jar放到tomcat的lib目录下面
SQL代码
CREATE TABLE users (
id INT PRIMARY KEY,
name VARCHAR(50) NOT NULL
);
INSERT INTO users (id, name)
VALUES (1, 'Alice'), (2, 'Bob'), (3, 'Charlie');
漏洞代码
<%@page import="java.sql.*"%>
<%
String name = request.getParameter("name");
String query = "SELECT * FROM users WHERE name = '" + name + "'";
// 设置数据库连接
String url = "jdbc:mysql://192.168.32.130:3306/test";
String username = "root";
String password = "123456";
Class.forName("com.mysql.jdbc.Driver");
Connection conn = DriverManager.getConnection(url, username, password);
// 执行查询
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(query);
// 显示查询结果
out.println("<table>");
out.println("<tr><th>ID</th><th>Name</th></tr>");
while (rs.next()) {
int id = rs.getInt("id");
String uname = rs.getString("name");
out.println("<tr><td>" + id + "</td><td>" + uname + "</td></tr>");
}
out.println("</table>");
// 关闭数据库连接
rs.close();
stmt.close();
conn.close();
%>

修复代码(预编译)
String query = "SELECT * FROM users WHERE name = ?";
// 执行查询
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setString(1, name);
ResultSet rs = stmt.executeQuery();
预编译语句是一种更安全和更高效的处理方式,它无法处理某些情况,例如like和order by子句中的动态值。
为了解决这些问题,有几种可行的方法:
在使用字符串拼接构建SQL语句时,必须对动态值进行适当的转义和验证,以避免SQL注入攻击。
例如,在使用like子句时,可以这样处理:
String username = request.getParameter("username");
String sql = "SELECT * FROM users WHERE username LIKE ?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, "%" + username.replace("%", "\\%").replace("_", "\\_") + "%");
ResultSet rs = stmt.executeQuery();
对于无法使用预编译的查询,可以在编写代码时尽量将动态值分离出来,使其成为固定的字符串。
例如,在使用order by子句时,可以这样处理:
String sort = req.getParameter("sort");
String sql = "SELECT * FROM users ORDER BY " + validateSort(sort);
PreparedStatement stmt = conn.prepareStatement(sql);
ResultSet rs = stmt.executeQuery();
private String validateSort(String sort) {
// 对sort参数进行验证和转义,确保只包含允许的字段名和排序方式(ASC或DESC),以避免SQL注入攻击
if (sort == null) {
return "id ASC"; // 默认排序方式
}
String[] parts = sort.split(" ");
if (parts.length != 2 || (!"ASC".equals(parts[1]) && !"DESC".equals(parts[1]))) {
return "id ASC"; // 非法排序参数,使用默认排序方式
}
String field = parts[0];
// 对field进行验证和转义,确保只包含允许的字段名
if (!"id".equals(field) && !"name".equals(field) && !"age".equals(field)) {
return "id ASC"; // 非法排序字段,使用默认排序方式
}
return field + " " + parts[1];
}
mybatis+springboot
使用MyBatis和Spring Boot的示例代码的典型目录结构
├── src
│ ├── main
│ │ ├── java
│ │ │ └── com
│ │ │ └── example
│ │ │ ├── controller
│ │ │ │ └── UserController.java
│ │ │ ├── mapper
│ │ │ │ └── UserMapper.java
│ │ │ ├── model
│ │ │ │ └── User.java
│ │ │ ├── service
│ │ │ │ └── UserService.java
│ │ │ └── MyApplication.java
│ │ └── resources
│ │ ├── mapper
│ │ │ └── UserMapper.xml
│ │ └── application.properties
│ └── test
│ └── java
│ └── com
│ └── example
│ └── service
│ └── UserServiceTest.java
└── pom.xml
创建一个maven项目,名字是example。

package com.example.controller;
import com.example.mapper.UserMapper;
import com.example.model.User;
import com.example.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;
import java.util.List;
@RestController
public class UserController {
@Autowired
private UserService userService;
@Autowired
private UserMapper userMapper;
// http://127.0.0.1:8080/users/1/
@GetMapping(value = "/users/{id}", produces = "application/json")
public ResponseEntity<User> getUser(@PathVariable String id) {
User user = userService.findById(id);
return ResponseEntity.ok(user);
}
// http://127.0.0.1:8080/users/ids/?ids=1,2,3
@GetMapping("/users/ids")
public List<User> findUsersByIds(@RequestParam String ids) {
List<User> users = userMapper.findUsersByIds(ids);
return users;
}
// http://127.0.0.1:8080/users/name?name=A
@GetMapping("/users/name")
public List<User> findUsersByNameLike(@RequestParam String name) {
List<User> users = userMapper.findUsersByNameLike(name);
return users;
}
// http://127.0.0.1:8080/users/sort?orderByColumn=name&orderByDirection=asc
@GetMapping("/users/sort")
public List<User> findUsersOrderBy(@RequestParam String orderByColumn, @RequestParam String orderByDirection) {
List<User> users = userMapper.findUsersOrderBy(orderByColumn, orderByDirection);
return users;
}
// http://127.0.0.1:8080/users/names?names=Alice&names=Bob
@GetMapping("/users/names")
public List<User> findUsersByNames(@RequestParam List<String> names) {
List<User> users = userMapper.findUsersByNames(names);
return users;
}
}
修复代码
在 MyBatis 中,你可以使用占位符(?)来表示参数,这样就可以将参数值与 SQL 语句分离。在 mapper XML 文件中,你可以使用 <select>
、<insert>
或 <update>
标签来定义 SQL 语句,然后使用 #{}
占位符来引用参数。例如:
<select id="getUserById" parameterType="Long" resultType="User">
SELECT * FROM users WHERE id = #{id}
</select>
最后更新于
这有帮助吗?