一、SQL注入

SQL注入是在Web页面的查询入口传入SQL非法参数,在事先定义好的查询语句的结尾上添加额外的SQL语句,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器执行,威胁数据库数据信息安全。

二、SQL注入方法

由于编写程序时未对用户输入数据的合理性进行判断,导致攻击者能在SQL的注入点中夹杂代码进行执行,并通过页面返回的提示,获取进行下一步攻击所需的信息。根据输入的参数,可将SQL注入方式大致分为两类:数字型注入、字符型注入。

1. 数字型注入

当输入的参数为整型时,如ID、年龄、页码等,如果存在注入漏洞,则可以认为是数字型注入。这种数字型注入最多出现在ASP、PHP等弱类型语言中,弱类型语言会自动推导变量类型,例如,参数id=8,PHP会自动推导变量id的数据类型为int类型,那么id=8 and 1=1,则会推导为string类型,这是弱类型语言的特性。而对于Java、C#这类强类型语言,如果试图把一个字符串转换为int类型,则会抛出异常,无法继续执行。所以,强类型的语言很少存在数字型注入漏洞。

2. 字符型注入

当输入参数为字符串时,称为字符型。数字型与字符型注入最大的区别在于:数字型不需要单引号闭合,而字符串类型一般要使用单引号来闭合。

三、MyBatis如何防止SQL注入

  • “${}”:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入。
  • “#{}”是预编译处理,mybatis在处理“#{}”时,它会将sql中的“#{}”替换为占位符“?”,然后调用PreparedStatement的set方法来赋值。
  • “#{}”传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入。
1. 防止SQL注入的策略

在UserMapper.xml配置文件中的SQL映射配置:

<select id="findUserByUsername" parameterType="java.lang.String" resultType="cn.com.mybatis.po.User">
	SELECT * FROM user WHERE username=#{username} and password=#{password}
</select>

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。上面代码中使用的“#{}”即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:

select * from user where username=? and password=?

其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结。“#{}”实现了传入参数的占位符,其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,想防止SQL注入,理所当然地要在输入参数上下功夫。即可利用parameterType限制传入参数的类型。

3、防止SQL注入的底层实现原理

在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了预编译好的SQL语句。这种预编译的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已预编译完成,参入参数直接替换预编译完成的SQL语句中的占位符,执行时无需再编译。