什么是 SQL 注入,这些坑得避开

运维 数据库运维
sql 注入就是用户通过输入的参数,拼接到原先的 sql 中,成为 sql 的一部分,从而影响 sql 的功能和执行结果

 [[425032]]

1、sql 注入是什么

sql 注入就是用户通过输入的参数,拼接到原先的 sql 中,成为 sql 的一部分,从而影响 sql 的功能和执行结果

2、sql 注入破坏力

-小兵破坏力

比如原先 sql 如下

  1. select * from user where name='用户名' and password='密码'

用户输入

  1. name:臻大虾'-- '注释 
  2. password:密码 

那最终的结果猜猜是什么?

  1. select * from user where name='臻大虾'-- '注释' and password='密码'

两个-- 代表注释,所以这条 sql 只需要输入用户名,就可以获取用户信息,跳过了密码的校验

-boss 破坏力

来个厉害的,比如用户输入以下参数

  1. name:臻大虾 
  2. password:'; drop table user;-- '注释 

最终的 sql:

  1. select * from user where name='臻大虾' and password=''; drop table user;-- '注释'

user 表居然被删除了,看到这,此时的你可能想原地爆炸。

3、对策

3.1、PreparedStatement 预编译

使用预编译,这样传入的参数,会被当作字符串,也就是被引号包起来

拿刚才的例子,用户输入

  1. name:臻大虾'-- '注释 
  2. password:密码 

如果使用了预编译,那最终的 sql

  1. select * from user where name='臻大虾\'-- \'注释' and password='密码'

参数中的引号被转义,从而避免成为 sql 的一部分。

3.2、有些语句不能预编译

预编译获取参数是根据#,而$ 是拼接的意思

#{}:解析为预编译语句的一个参数占位符

${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值

比如传入:'臻大虾' or 1=1

  1. 1、SELECT * FROM user WHERE name=#{name} //SELECT * FROM user WHERE name='\'臻大虾\' or 1=1' 
  2. 2、SELECT * FROM user WHERE name=${name} //SELECT * FROM user WHERE name='臻大虾' or 1=1 

但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用

还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?

  • like

  1. select * from user where name like '%#{name}%' //会报错 
  2. select * from user where name like '%${name}%' //正常 

正确写法

使用 mysql 的字符串拼接函数 concat

  1. select * from user where name like concat('%',#{name},'%'
  • in

正确写法,使用 foreach

  1. @Select("<script>" + 
  2.         "select * from user where id in "
  3.         "<foreach item='item' index='index' collection='userIds' open='(' separator=',' close=')'> " + 
  4.         "#{item}" + 
  5.         "</foreach>"
  6.         "</script>"
  7. List<User> getByIds(@Param("userIds") List<Long> userIds); 
  • order by

有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单

比如

  1. List<String> allowSortColumnList= Lists.newArrayList("age","score"); 
  2. if(!allowSortColumnList.contains(sortParam)){ 
  3.     throw new RuntimeException("can not sort by "+sortParam); 

 

 

责任编辑:张燕妮 来源: 臻大虾
相关推荐

2022-11-04 08:38:57

索引数据分库

2018-09-11 08:05:44

千兆路由器厂商

2021-09-07 14:35:48

DevSecOps开源项目

2018-07-05 06:02:38

综合布线弱电动力线

2021-05-18 08:02:40

面试面试问题职业规划

2017-01-23 08:41:43

云计算

2020-07-14 14:59:00

控制反转依赖注入容器

2022-11-10 10:19:06

业务项目工具代码

2018-10-31 11:30:28

Redis数据分布式锁

2010-12-20 16:04:30

2013-07-27 14:14:25

2019-02-25 23:02:16

数据科学职业数据科学家

2017-02-23 08:08:58

2013-05-14 13:59:13

开发者广告商广告平台

2021-08-19 07:34:55

RabbitMQLinuxWindows

2011-05-12 13:07:28

SQL Server复制漏洞

2017-08-10 10:23:59

2013-01-15 10:53:36

2013-01-16 14:29:22

2022-09-16 00:32:39

SQL数据库习惯
点赞
收藏

51CTO技术栈公众号