什么是 SQL 注入,这些坑得避开
1、sql 注入是什么
sql 注入就是用户通过输入的参数,拼接到原先的 sql 中,成为 sql 的一部分,从而影响 sql 的功能和执行结果
2、sql 注入破坏力
-小兵破坏力
比如原先 sql 如下
复制select * from user where name=用户名 and password=密码;
1.
用户输入
复制name:臻大虾-- 注释
password:密码
1.2.
那最终的结果猜猜是什么?
复制select * from user where name=臻大虾-- 注释 and password=密码;
1.
两个-- 代表注释,所以这条 sql 只需要输入用户名,就可以获取用户信息,跳过了密码的校验
-boss 破坏力
来个厉害的,比如用户输入以下参数
复制name:臻大虾
password:; drop table user;-- 注释
1.2.
最终的 sql:
复制select * from user where name=臻大虾 and password=; drop table user;-- 注释;
1.
user 表居然被删除了,看到这,此时的你可能想原地爆炸。
3、对策
3.1、PreparedStatement 预编译
使用预编译,这样传入的参数,会被当作字符串,也就是被引号包起来
拿刚才的例子,用户输入
复制name:臻大虾-- 注释
password:密码
1.2.
如果使用了预编译,那最终的 sql
复制select * from user where name=臻大虾\-- \注释 and password=密码;
1.
参数中的引号被转义,从而避免成为 sql 的一部分。
3.2、有些语句不能预编译
预编译获取参数是根据#,而$ 是拼接的意思
#{}:解析为预编译语句的一个参数占位符
${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值
比如传入:臻大虾 or 1=1
复制1、SELECT * FROM user WHERE name=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=1
2、SELECT * FROM user WHERE name=${name} //SELECT * FROM user WHERE name=臻大虾 or 1=1
1.2.
但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用
还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢?
like
复制select * from user where name like %#{name}%//会报错
select * from user where name like %${name}%//正常
1.2.
正确写法
使用 mysql 的字符串拼接函数 concat
复制select * from user where name like concat(%,#{name},%)
1.
in
正确写法,使用 foreach
复制@Select("<script>" +
"select * from user where id in "+
"<foreach item=item index=index collection=userIds open=( separator=, close=)> " +
"#{item}" +
"</foreach>"+
"</script>")
List<User> getByIds(@Param("userIds") List<Long> userIds);
1.2.3.4.5.6.7.
order by
有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单
比如
复制List<String> allowSortColumnList= Lists.newArrayList("age","score");
if(!allowSortColumnList.contains(sortParam)){
thrownew RuntimeException("can not sort by "+sortParam);
}
1.2.3.4.
THE END
