java的sql注入一般是在两个场景下会产生,一个是JDBC未对参数进行过滤,一个是对mybatis使用${}来进行传参。让我们先来了解一下JDBC。
在几年前框架还未盛行的时候,很多cms和项目都是采用JDBC进行数据库连接和获取数据的。在使用JDBC时,代码中如果存在拼接sql语句,就有可能产生注入,例如:
String sql = "SELECT * FROM users WHERE name ='"+ name + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);
而注入一般的防御方法都是采用预编译,利用占位符?来对参数进行类型的绑定。JDBC中使用的是PreparedStatement。
String sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
注:1、例如order by、column name需要手工过滤,可以使用白名单的方式来限制参数值
2、在使用 PreparedStatement 之前,存在拼接 sql 语句,仍然会导致注入
现在java开发大部分使用ssm框架来进行开发,m即是mybatis。在 MyBatis 中,使用 XML 文件 或 Annotation 来进行配置和映射,将 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records。
MyBatis 使用 #{} 和 ${} 来进行参数值替换。使用 #{} 语法时,MyBatis 会自动生成 PreparedStatement ,使用参数绑定 (?) 的方式来设置值。而使用 ${} 语法时,MyBatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 sql 注入。
如需使用${}时,可进行白名单过滤,在xml文件中设置一个if判断。如
SELECT * FROM user
<if test="xxx == 'name' or xxx == 'email'"> order by ${xxx} </if>
在若依4.6.2版本中,就存在${}的注入漏洞。
入口处在,可以看出访问地址是system/role/list,一个后台注入漏洞,调用了roleService的selectRoleList进行处理。
接着直接查看sql语句的执行即可,一般都会存在xml的执行语句
可以看出,最后一行使用了${}对参数进行处理,了解过ssm框架防注入的都知道,这种情况是存在注入的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
