Mybatis常用注解中的SQL注入实例详解

目录
  • 前言
  • 常见注入场景
    • 2.1普通注解
    • 2.2 动态sql
      • 2.2.1 使用< script>
      • 2.2.2 使用Provider注解
  • 总结

前言

MyBatis3提供了新的基于注解的配置。主要在MapperAnnotationBuilder中,定义了相关的注解:

public MapperAnnotationBuilder(Configuration configuration, Class<?> type) {
    ...
    sqlAnnotationTypes.add(Select.class);
    sqlAnnotationTypes.add(Insert.class);
    sqlAnnotationTypes.add(Update.class);
    sqlAnnotationTypes.add(Delete.class);
    ......
    sqlProviderAnnotationTypes.add(SelectProvider.class);
    sqlProviderAnnotationTypes.add(InsertProvider.class);
    sqlProviderAnnotationTypes.add(UpdateProvider.class);
    sqlProviderAnnotationTypes.add(DeleteProvider.class);
}

增删改查占据了绝大部分的业务操作,通过注解不在需要配置繁杂的xml文件,越来越多的sql交互均通过注解来实现。从MapperAnnotationBuilder可以看到Mybatis提供了以下相关的注解:

  • @Select
  • @Insert
  • @Update
  • @Delete
  • @SelectProvider
  • @InsertProvider
  • @UpdateProvider
  • @DeleteProvider

例如如下例子,使用@Select注解直接编写SQL完成数据查询:

@Mapper
public interface UserMapper {
@Select("select * from t_user")
List<User> list();
}

使用类似@SelectProvider高级注解可以指定某个工具类的方法来动态编写SQL,以应对复杂的业务需求。
以@SelectProvider 为例,查看具体的实现,主要包含两个注解属性,其中type表示工具类,method 表示工具类的某个方法,用于返回具体的SQL:

@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface InsertProvider {
    // 用于指定获取 sql 语句的指定类
    Class<?> type();
    // 指定类中要执行获取 sql 语句的方法
    String method();
}

使用方法如下,在ProjectSql类的getContentByProjectIds方法定义相关的sql即可,sql的定义可以通过org.apache.ibatis.jdbc.SQL来快速实现:
@SelectProvider(type = ProjectSql.class, method = "getContentByProjectIds")
List<Integer> getContentByProjectIds(List<Integer> projectIds);

常见注入场景

2.1普通注解

实际上跟xml配置中对应的标签语法是一样的(例如@Select对应<select>标签),所以注入场景也是类似的。

在Mybatis中,#的作用主要是替换预编译语句(PrepareStatement)中的占位符?,$是直接的SQL拼接。以like模糊查询 为例子:

例如如下例子:

跟xml配置一样,like模糊查询直接使用#预编译的方式进行注解的话会触发异常,所以很多时候直接使用$进行注解:

@Select("SELECT id, name, age, email FROM user where name like '${name}'")List<User> queryUserByName(@Param("name") String name);

那么此时name前端用户可控的话,将导致SQL注入风险。

图片查看sql日志,成功执行1/0触发sql error,说明注入成功:

处理这类SQL问题也很简单,使用sql的内置函数进行拼接,拼接后再采用#预编译的方式进行查询。例如上面案例是h2数据库的,使用'||'拼接再进行预编译处理即可:

@Select("SELECT id, name, age, email FROM user where name like '%'||#{name}||'%'")List<User> queryUserByName(@Param("name") String name);

此时已使用预编译进行SQL查询:

此外,类似Order by、动态表名,无法采用预编译的方式情况,可以在在代码层使用间接引用的方式进行处理。

对于范围查询in,熟悉mybatis注入的话,是需要使用MyBatis自带的循环指令foreach来解决SQL语句动态拼接的,当使用注解时,就需要使用< script>标签来引入foreach了。

2.2 动态sql

2.2.1 使用< script>

要在带普通注解的映射器接口类中使用动态 SQL,可以使用script 元素。跟xml类似,主要是如下的元素:

if
choose (when, otherwise)
trim (where, set)
foreach

相关的注入场景跟2.1也是类似的。也是离不开$。此外,在进行同条件多值查询(例如范围查询in)的时候,可以使用MyBatis自带的循环指令foreach来解决SQL语句动态拼接的问题。

2.2.2 使用Provider注解

可以通过使用Provider注解指定某个工具类的方法来动态编写SQL。以@SelectProvider为例:

首先在mapper中使用@SelectProvider定义相关的方法,其中type表示工具类,method 表示工具类的某个方法,用于返回具体的SQL。例如下面的例子:
通过传递userIds以及name,查询相关的用户信息,在UserInfoSql类的getUserInfoByids方法定义了具体的SQL内容:

/**
   * @param userIds 必填
   * @param name 可选
   * @return
   */
  @SelectProvider(type = UserInfoSql.class, method = "getUserInfoByids")
  List<User> getUserInfoByids(List<Long> userIds, String name);

  class UserInfoSql {
    public String getUserInfoByids(List<Long> userIds, String name) {
      SQL sql = new SQL();
      sql.SELECT("id, name, age, email");
      sql.FROM("user");
      sql.WHERE("id in(" + Joiner.on(',').join(userIds) + ")");
      if(StringUtil.isNotBlank(name)){
        sql.WHERE("name like '%" + name + "%'");
      }
      sql.ORDER_BY("id desc");
      return sql.toString();
    }
  }

在Controller调用具体方法就可以进行sql查询了:

@RequestMapping(value = "/getUserInfoByids")
 public List<User> getUserInfoByids(String name,@RequestParam List<Long> userIds){
         List<User> userList = userMapper.getUserInfoByids(userIds,name);
         return userList;
 }

正常请求返回对应的用户信息:

前面是通过MyBatis 3 提供的工具类org.apache.ibatis.jdbc.SQL来生成SQL的。该类提供了类似select、where、ORDER_BY等方法来完成SQL生成的操作。这里有个误区,很多开发认为这里工具类会进行相关的预编译处理。

实际上Provider其实只需要返回一个SQL字符串,工具类只不过用了一些关键字做格式化而已,甚至可以直接使用StringBuffer拼接SQL语句。同样是上面的例子,List userIds是long类型,但是name是String类型,可以尝试注入:

查看相关日志,成功执行1/0逻辑触发SQL error,也印证了Provider实际上只是 SQL 拼接,没有做相关的安全处理 :

相比@Select@,SelectProvider 只是在定义注解的方式上有所不同, 前者是直接定义 sql, 一个是在外部定义好 sql 直接引用, 没本质上的区别,所以解决方法是在对应的sql场景,使用#进行预编译进行处理,例如这里的like模糊查询和in范围查询:

@SelectProvider(type = UserInfoSql.class, method = "getUserInfoByids")
  List<User> getUserInfoByids(@Param("userIds")List<Long> userIds,@Param("name")String name);

  class UserInfoSql {
    public String getUserInfoByids(@Param("userIds")List<Long> userIds, @Param("name")String name) {
            StringBuilder sql = new StringBuilder(128);
            sql.append("< script>SELECT id, name, age, email FROM user WHERE (id in");
            sql.append("<foreach item='item' collection='userIds' open='(' separator=',' close=')'>#{item}</foreach>");
      if(StringUtil.isNotBlank(name)){
              sql.append("and name like '%'||#{name}||'%')");
      }
      sql.append("ORDER BY id desc</script>");
      return sql.toString();
    }
  }

查看sql日志,此时使用预编译进行sql处理,避免了SQL注入风险。

总结

到此这篇关于Mybatis常用注解中的SQL注入的文章就介绍到这了,更多相关Mybatis注解的SQL注入内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • mybatis注解动态sql注入map和list方式(防sql注入攻击)

    目录 网上的教程 我的教程(防sql注入攻击) 注入Map 注入List 封装foreach mybatis防止sql注入的循环map写法 网上的教程 配置xml 注解中写xml脚本@Select() 使用Java类中的Java方法拼写sql语句(不防sql注入攻击的纯字符串拼接) 我的教程(防sql注入攻击) 注入Map Mapper层代码 @Repository public interface ManageMapper { @SelectProvider(type = ManageProv

  • MyBatis下SQL注入攻击的3种方式

    目录 前言 Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种: 1.模糊查询 2.in 之后的多个参数 3.order by 之后 二.实战思路 三.总结 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少.新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路. Mybatis的SQL语句可以基于注解的

  • 详解Mybatis框架SQL防注入指南

    前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少.新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路. 一.Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件.Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成.

  • Mybatis防止sql注入的实例

    sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如"or '1'='1'"这样的语句,有可能入侵参数校验不足的应用程序.所以在我们的应用中需要做一些工作,来防备这样的攻击方式.在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式. mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手

  • mybatis防止SQL注入的方法实例详解

    SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见.究其原因不外乎:No patch for stupid.为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) ); 然后使用JDBC操作表: private String getNameByUserId(String userId) { Connection conn

  • Mybatis常用注解中的SQL注入实例详解

    目录 前言 常见注入场景 2.1普通注解 2.2 动态sql 2.2.1 使用< script> 2.2.2 使用Provider注解 总结 前言 MyBatis3提供了新的基于注解的配置.主要在MapperAnnotationBuilder中,定义了相关的注解: public MapperAnnotationBuilder(Configuration configuration, Class<?> type) { ... sqlAnnotationTypes.add(Select

  • Java中如何避免sql注入实例详解

    目录 前言 造成sql注入的原因: 预防sql注入方法: java 有效的防止SQL注入 总结 前言 sql注入是web开发中最常见的一种安全漏洞.可以用它来从数据库获取敏感信息.利用数据库的特性执行添加用户.导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限. 造成sql注入的原因: 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL脚本,程序在接收后错误的将攻击者的输入作为SQL语句的一部分执行,导致原始的查询逻辑被改变,执行了攻击者精心构造的恶意SQL语句.

  • PHP中防止SQL注入方法详解

    问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')"); 因为用户的输入可能是这样的: 复制代码 代码如下: value');

  • php中的依赖注入实例详解

    本文实例讲述了php中的依赖注入.分享给大家供大家参考,具体如下: 依赖注入是一种允许我们从硬编码的依赖中解耦出来,从而在运行时或者编译时能够修改的软件设计模式. 我到现在依然不大明白上面"依赖注入"的定义是什么-- 有兴趣可以参考下<PHP之道>上面对"依赖注入"的 解释. http://laravel-china.github.io/php-the-right-way/#dependency_injection 简而言之就是可以让我们在类的方法中更加

  • java中Spring Security的实例详解

    java中Spring Security的实例详解 spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案.并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成.使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权.认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(授权后一般会在服务端创建一个token,之后用这个token进行后续行为的交互). spring

  • Web网络安全漏洞分析SQL注入原理详解

    目录 一.SQL注入的基础 1.1 介绍SQL注入 1.2 注入的原理 1.3 与MySQL注入相关的知识 MySQL查询语句 limit的用法 需要记住的几个函数 注释符 内联注释 一.SQL注入的基础 1.1 介绍SQL注入 SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作. 下面以PHP语句为例. $query = "SELECT * FROM users WH

  • JDBC中resutset接口操作实例详解

    本文主要向大家展示JDBC接口中resutset接口的用法实例,下面我们看看具体内容. 1. ResultSet细节1 功能:封锁结果集数据 操作:如何获得(取出)结果 package com.sjx.a; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; //1. next方

  • JSP中out对象的实例详解

    JSP中out对象的实例详解 一 什么是缓冲区 缓冲区:Buffer,所谓缓冲区就是内存的一块区域用来保存临时数据. 二 out对象 out对象是JspWrite类的实例,是向浏览器输出内容常用的对象. 三 常用方法 四 实例 <%@ page language="java" import="java.util.*" contentType="text/html; charset=utf-8"%> <% String path

  • Java中的动态和静态编译实例详解

    Java中的动态和静态编译实例详解 首先,我们来说说动态和静态编译的问题. Q: java和javascript有什么区别?    总结了一下:有以下几点吧: 1.首先从运行环境来说java代码是在JVM上编译成class文件,而javascript则直接在浏览器上加载运行. 2.由第一点可看出,java代码需要编译,而javascript不需要编译. 3.从语言性质来说,java是一种高级编程语言,对变量检查要求严格,javascript只是一个简单的解释性的脚本语言,对变量检查及要求很弱.

  • python 读取excel文件生成sql文件实例详解

    python 读取excel文件生成sql文件实例详解 学了python这么久,总算是在工作中用到一次.这次是为了从excel文件中读取数据然后写入到数据库中.这个逻辑用java来写的话就太重了,所以这次考虑通过python脚本来实现. 在此之前需要给python添加一个xlrd模块,这个模块是专门用来操作excel文件的. 在mac中可以通过easy_install xlrd命令实现自动安装模块 import xdrlib ,sys import xlrd def open_excel(fil

随机推荐