再看ibatis Order By注入問題

發布時間：2020-08-11 12:47:07 來源：ITPUB博客閱讀：147 作者：壹頁書欄目：編程語言

接上文
http://blog.itpub.net/29254281/viewspace-1318239/

領導讓開發同學鼓搗一個可配置化的后臺.
又回到了原來的問題
如果要靈活,很多參數要從前端頁面傳過來,有SQL注入的風險.
如果參數化SQL,又很難做到靈活..

先看一個注入的例子:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class Test {
public static void main(String[] args) throws SQLException {
String para="/index.html' union all select * from probe -- ";
Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mvbox", "xx", "xx");
Statement ps=conn.createStatement();
ResultSet rs = ps.executeQuery("select * from probe where path='"+para+"'");
while (rs.next()) {
System.out.println(rs.getString("host")+":"+rs.getString("path"));
}
rs.close();
ps.close();
conn.close();
}
}

如果要避免這種風險,可以選擇參數化

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class Test {
public static void main(String[] args) throws SQLException {
String para="/index.html' union all select * from probe -- ";
Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/mvbox", "xx", "xx");
PreparedStatement ps=conn.prepareStatement("select * from probe where path=?");
ps.setString(1, para);
ResultSet rs=ps.executeQuery();
while (rs.next()) {
System.out.println(rs.getString("host")+":"+rs.getString("path"));
}
rs.close();
ps.close();
conn.close();
}
}

為何參數化可以防止注入?
作為MySQL JDBC驅動來說(5.1.31),其實就是對敏感字符做了轉義.

觀察 com.mysql.jdbc.PreparedStatement 的 setString方法

可以看到有如下的替換過程

是不是可以使用 iBatis 的 $ 方式增加靈活性,而在參數進入iBatis之前,手工進行一下敏感字符替換,而防止SQL注入攻擊呢?

向AI問一下細節

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站