注入漏洞的防范 iBatis like查詢需注意
看《ibatis in action》,里面提到了使用iBatis like查詢的時(shí)候,會(huì)有注入漏洞。舉例說(shuō)明如下:
Xml代碼
- <select id="getSchoolByName" resultMap="result">
- select
- *
- from tbl_school
- where school_name like '%$name$%'
- </select>
Java代碼
- <select id="getSchoolByName" resultMap="result">
- select
- *
- from tbl_school
- where school_name like '%$name$%'
- </select>
測(cè)試用例:
Java代碼
- @Test
- public void print(){
- try{
- List<School> list = schoolDao.getSchoolByName("長(zhǎng)樂一中%' or '1%' = '1");
- for(School school : list){
- System.out.println(school.getName());
- }
- }catch(Exception e){
- e.printStackTrace();
- }
- }
用p6spy查看最后生成的sql語(yǔ)句:
Sql代碼
- sql1:select * from tbl_school where school_name like '%長(zhǎng)樂一中%' or '1%' = '1%'
- sql2:select * from tbl_school where school_name like '%長(zhǎng)樂一中%' or '1%' = '1%'
其中:sql1是ibatis放入preparedstatement執(zhí)行的sql,sql2是jdbc執(zhí)行的真正sql,在這個(gè)例子里二者一樣的,因?yàn)樵趍ap里使用的占位符是$name$,ibatis遇到這樣的占位符,就直接拼sql語(yǔ)句了,而不是用在sql中使用占位符再給sql set paramter(用#name#的話就是,但是不能用來(lái)搞模糊查詢)。
在實(shí)際項(xiàng)目中的后果就是:如果在頁(yè)面上有個(gè)輸入框,讓用戶輸入學(xué)校名字,用戶輸入 長(zhǎng)樂一中%' or '1%' = '1 的字樣,那程序就會(huì)把所有的學(xué)校結(jié)果都列出來(lái)。實(shí)際上可能有一些學(xué)校已經(jīng)被刪除掉了(使用某個(gè)字段標(biāo)記,假刪除),不想讓用戶再看到或者某些學(xué)校信息當(dāng)前用戶沒有權(quán)限看到。
在《ibatis in action》里,通過(guò)iBatis like查詢,例舉了這個(gè)注入漏洞一個(gè)更可怕的后果,刪表。修改測(cè)試用例如下:
Java代碼
- @Test
- public void print(){
- try{
- List<School> list = schoolDao.getSchoolByName("長(zhǎng)樂一中';drop table tbl_test;#");
- for(School school : list){
- System.out.println(school.getName());
- }
- }catch(Exception e){
- e.printStackTrace();
- }
- }
用p6spy查看最后生成的sql語(yǔ)句:
Sql代碼
- select * from tbl_school where school_name like '%長(zhǎng)樂一中';drop table tbl_test;#%'
- select * from tbl_school where school_name like '%長(zhǎng)樂一中';drop table tbl_test;#%'
在mysql中,#是注釋符.復(fù)制以下sql代碼在phpmyadmin中執(zhí)行,tbl_test確實(shí)被刪掉了。但是用ibatis執(zhí)行這句sql卻失敗,debug了下ibatis的源代碼,發(fā)現(xiàn)ibatis是用preparedstatement執(zhí)行查詢的。上面的是兩個(gè)sql語(yǔ)句,但ibatis直接把“select * from tbl_school where school_name like '%長(zhǎng)樂一中';drop table tbl_test;#%'”這句sql放進(jìn)去執(zhí)行,差不多下面這樣:
Java代碼
- String sql = "select * from tbl_school where school_name like '%長(zhǎng)樂一中';drop table tbl_test;#%'"
- PreparedStatement ps = conn.prepareStatement(sql);
- ps.execute();
這樣的執(zhí)行就會(huì)報(bào)錯(cuò),也就刪除不了tbl_test這張表了。。。奇怪了。。難道《ibatis in action》這書上講錯(cuò)了? 以上代碼都是在ibatis2.3.4的環(huán)境下測(cè)試的。沒試過(guò)以前的版本。。 難道就不能用iBatis like查詢了?或者要在web層或者service層對(duì)用戶的輸入條件作一次過(guò)濾么?太麻煩了。還好ibatis提供的另一種占位符#在用PreparedStatement執(zhí)行查詢的時(shí)候,是用?作占位符,然后set paramter的。。把map里的sql語(yǔ)句改成這樣吧:(參考了網(wǎng)上的sql語(yǔ)句)
Sql代碼
- mysql: select * from tbl_school where school_name like concat('%',#name#,'%')
- oracle: select * from tbl_school where school_name like '%'||#name#||'%'
- SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'
【編輯推薦】
