JAVA审计中的SQL注入

JAVA审计中的SQL注入
2022-11-27 09:45:34 Author: HACK安全(查看原文) 阅读量:10 收藏

废话不多，直接看代码。

普通的Statement查询，在第三行可以看到，直接进行了拼接这就是典型的注入

Connection coon = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8","root","root");Statement statement = coon.createStatement();ResultSet resultSet = statement.executeQuery("select * from user where user="+拼接变量);List<Integer> lists = new ArrayList<>();while(resultSet.next()){    System.out.println(resultSet.getInt("id"));    System.out.println(resultSet.getString("user"));    System.out.println(resultSet.getString("pass"));    lists.add(resultSet.getInt("id"));}---------------------------------------------------------------------------------------------------------String sql = "select * from user where user= "+user;System.out.println(sql);List<Map<String,Object>> lists = jdbcTemplate.queryForList(sql);return lists;

预处理来防范SQL注入，在第二行使用了占位符，来防范预处理

Connection coon = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8","root","root");String sql = "select * from user where user = ?";PreparedStatement statement = coon.prepareStatement(sql);statement.setString(1,user);ResultSet resultSet = statement.executeQuery();List<String> lists = new ArrayList<>();while(resultSet.next()){    System.out.println(resultSet.getInt("id"));    System.out.println(resultSet.getString("user"));    System.out.println(resultSet.getString("pass"));    lists.add(resultSet.getString("user"));}return lists.toString();

Mybatis中的常见注入

代码1:

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">select id, username, password, rolefrom userwhere username = #{username,jdbcType=VARCHAR}and password = #{password,jdbcType=VARCHAR}</select>

代码2:

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">select id, username, password, rolefrom userwhere username = ${username,jdbcType=VARCHAR}and password = ${password,jdbcType=VARCHAR}</select>

1、#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
如：where username=#{username}，如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id，则解析成的sql为where username="id"　

2、$将传入的数据直接显示生成在sql中。
如：where username=${username}，如果传入的值是111,那么解析成sql时的值为where username=111；
如果传入的值是;drop table user;，则解析成的sql为：select id, username, password, role from user where username=;drop table user;

3、#能够很大程度防止sql注入，$无法防止Sql注入。

4、$一般用于传入数据库对象，例如传入表名.

5、一般能用#的就别用$，若不得不使用${xxx}这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

6、在MyBatis中，${xxx}这样格式的参数会直接参与SQL编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用${xxx}这样的参数格式。所以，这样的参数需要我们在代码中手工进行处理来防止注入。
【结论】在编写MyBatis的映射语句时，尽量采用#{xxx}这样的格式。若不得不使用${xxx}这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NjU0MjA0Ng==&mid=2247486733&idx=1&sn=7ab284a710ab2599ea27a3ed55f06406&chksm=ce4805bcf93f8caab0a27fb3aa42f3e258785ac96cab26920db8a2d3b78b333ca11f4441dda2#rd
如有侵权请联系:admin#unsafe.sh