注入漏洞的防范 iBatis like查询需注意
创始人
2024-04-18 05:41:40
0

看《ibatis in action》,里面提到了使用iBatis like查询的时候,会有注入漏洞。举例说明如下:

Xml代码

  1.     
  2.     select     
  3.           *     
  4.     from tbl_school     
  5.     where school_name like '%$name$%'     
  6.     

Java代码

 

  1.     
  2.     select     
  3.           *     
  4.     from tbl_school     
  5.     where school_name like '%$name$%'     
  6.     

   测试用例:

Java代码

 

  1. @Test    
  2. public void print(){     
  3.         try{     
  4.             List list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");     
  5.             for(School school : list){     
  6.                 System.out.println(school.getName());     
  7.             }     
  8.         }catch(Exception e){     
  9.             e.printStackTrace();     
  10.         }     
  11.     }    

    用p6spy查看最后生成的sql语句:

Sql代码

  1. sql1:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'        
  2.     
  3. sql2:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'    

 其中:sql1是ibatis放入preparedstatement执行的sql,sql2是jdbc执行的真正sql,在这个例子里二者一样的,因为在map里使用的占位符是$name$,ibatis遇到这样的占位符,就直接拼sql语句了,而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是,但是不能用来搞模糊查询)。

在实际项目中的后果就是:如果在页面上有个输入框,让用户输入学校名字,用户输入 长乐一中%' or '1%' = '1 的字样,那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记,假删除),不想让用户再看到或者某些学校信息当前用户没有权限看到。

 在《ibatis in action》里,通过iBatis like查询,例举了这个注入漏洞一个更可怕的后果,删表。修改测试用例如下:

Java代码

  1. @Test        
  2. public void print(){     
  3.         try{     
  4.             List list = schoolDao.getSchoolByName("长乐一中';drop table tbl_test;#");     
  5.             for(School school : list){     
  6.                 System.out.println(school.getName());     
  7.             }     
  8.         }catch(Exception e){     
  9.             e.printStackTrace();     
  10.         }     
  11.     }    

用p6spy查看最后生成的sql语句:

Sql代码

  1. select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'     
  2. select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'   

在mysql中,#是注释符.复制以下sql代码在phpmyadmin中执行,tbl_test确实被删掉了。但是用ibatis执行这句sql却失败,debug了下ibatis的源代码,发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句,但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行,差不多下面这样:

Java代码

  1. String sql = "select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'"    
  2.     
  3. PreparedStatement ps = conn.prepareStatement(sql);     
  4.     
  5. ps.execute();    

这样的执行就会报错,也就删除不了tbl_test这张表了。。。奇怪了。。难道《ibatis in action》这书上讲错了? 以上代码都是在ibatis2.3.4的环境下测试的。没试过以前的版本。。 难道就不能用iBatis like查询了?或者要在web层或者service层对用户的输入条件作一次过滤么?太麻烦了。还好ibatis提供的另一种占位符#在用PreparedStatement执行查询的时候,是用?作占位符,然后set paramter的。。把map里的sql语句改成这样吧:(参考了网上的sql语句)

Sql代码

  1. mysql: select * from tbl_school where school_name like concat('%',#name#,'%')     
  2.     
  3. oracle: select * from tbl_school where school_name like '%'||#name#||'%'    
  4.     
  5. SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'  

【编辑推荐】

  1. ibatis官方提示文档中的错误
  2. iBATIS特性之七大方面详谈
  3. iBATIS事务处理浅析
  4. 简单三步走堵死SQL Server注入漏洞
  5. PHP-Nuke存在远程SQL注入漏洞 后台数据库堪忧

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...