點(diǎn)擊上方“java大數(shù)據(jù)修煉之道”，選擇“設(shè)為星標(biāo)”

優(yōu)質(zhì)文章, 第一時(shí)間送達(dá)

作者：云影實(shí)驗(yàn)室?
https://www.freebuf.com/articles/web/245851.html

本文以Java項(xiàng)目廣泛采用的兩個(gè)框架Hibernate和MyBatis 為例來(lái)介紹，如何在編碼過程中避免SQL注入的幾種編碼方法，包括對(duì)預(yù)編譯的深度解析，以及對(duì)預(yù)編譯理解的幾個(gè)“誤區(qū)”進(jìn)行了解釋。

隨著互聯(lián)網(wǎng)的發(fā)展，Java語(yǔ)言在金融服務(wù)業(yè)、電子商務(wù)、大數(shù)據(jù)技術(shù)等方面的應(yīng)用極其廣泛。Java安全編碼規(guī)范早已成為SDL中不可或缺的一部分。本文以Java項(xiàng)目廣泛采用的兩個(gè)框架Hibernate和MyBatis 為例來(lái)介紹，如何在編碼過程中避免SQL注入的幾種編碼方法，包括對(duì)預(yù)編譯的深度解析，以及對(duì)預(yù)編譯理解的幾個(gè)“誤區(qū)”進(jìn)行了解釋。

備注，本文是Java語(yǔ)言安全編碼會(huì)是系列文章的第一篇。

1. 框架介紹

目前Hibernate和MyBatis為java項(xiàng)目廣泛采用的兩個(gè)框架。由于Hibernate使用方便，以前的項(xiàng)目采用Hibernate非常的廣泛，但是后面由于Hibernate的侵入式特性，后面慢慢被MyBatis所取代 。下面我們會(huì)以SpringBoot為基礎(chǔ)，分別搭建Hibernate和MyBatis的漏洞環(huán)境。

2. 配置說明

SpringBoot采用2.3.1.RELEASE，MySQL版本為5.7.20。數(shù)據(jù)庫(kù)有一張表user_tbl。數(shù)據(jù)如下：

3. Hibernate

Hibernate 是一個(gè)開放源代碼的對(duì)象關(guān)系映射框架，它對(duì) JDBC 進(jìn)行了非常輕量級(jí)的對(duì)象封裝，是一個(gè)全自動(dòng)的 ORM 框架。Hibernate 自動(dòng)生成 SQL 語(yǔ)句，自動(dòng)執(zhí)行。

(1) 環(huán)境搭建

結(jié)構(gòu)如下，ctl為控制層，service為服務(wù)層，dao為持久層。為了方便沒有按照標(biāo)準(zhǔn)的接口實(shí)現(xiàn)，我們只關(guān)注漏洞的部分。

Beans下User.java對(duì)用為user_tbl表結(jié)構(gòu)。

我們使用/inject 接口,p為接受外部的參數(shù)，來(lái)查詢User的列表，使用fastjson來(lái)格化式輸出。

我們回到dao層。

1)SQL注入

SQL注入我們使用字符串拼接方式：

訪問http://localhost:8080/inject?p=m 直接用SQLMap跑一下：

很容易就注入出數(shù)據(jù)來(lái)了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate專門用于查詢數(shù)據(jù)的語(yǔ)句，有別于SQL，HQL 更接近于面向?qū)ο蟮乃季S方式。表名就是對(duì)應(yīng)我們上面的entity配置的。HQL注入利用比SQL注入利用難度大，比如一般程序員不會(huì)對(duì)系統(tǒng)表進(jìn)行映射，那么通過系統(tǒng)表獲取屬性的幾乎不可能的，同時(shí)由于HQL對(duì)于復(fù)雜的語(yǔ)句支持比較差，對(duì)攻擊者來(lái)說需要花費(fèi)更多時(shí)間去構(gòu)造可用的payload，更多詳細(xì)的語(yǔ)法可以參考：

https://docs.huihoo.com/Hibernate/reference-v3_zh-cn/queryhql.html

3)預(yù)編譯

我們使用setParameter的方式，也就是我們熟知的預(yù)編譯的方式。

Query?query?=?(Query)?this.entityManager.createQuery("from?User?u?where?u.userName?like?:userName?",User.class);?? query.setParameter("userName","%"+username+"%");?

訪問http://localhost:8080/inject?p=m后得到正常結(jié)果。

執(zhí)行注入語(yǔ)句：

http://localhost:8080/inject?p=m’ or ‘1’ like ‘1 返回為空。

我們來(lái)看看setParameter的方式到底對(duì)我們的SQL語(yǔ)句做了什么。 我們將斷點(diǎn)打至Loader.class的bindPreparedStatement。 發(fā)現(xiàn)通過預(yù)編譯后，SQL變?yōu)榱?#xff1a; select?user0_.id?as?id1_0_,?user0_.password?as?password2_0_,?user0_.username?as?username3_0_?from?user_tbl?user0_?where?user0_.username?like?'%''?or?''1''?like?''1%'，?

然后交給hikari處理。發(fā)現(xiàn)將我們的單引號(hào)變成了兩個(gè)單引號(hào)，也就是說把傳入的數(shù)據(jù)變?yōu)樽址?/p>

將斷點(diǎn)斷至mysql-connector-java(也就是我們熟知的JDBC驅(qū)動(dòng)包)的ClientPreparedQueryBindings.setString.這里就是參數(shù)設(shè)置的地方。

看一下算法：

String?parameterAsString?=?x;?boolean?needsQuoted?=?true;?if?(this.isLoadDataQuery?||?this.isEscapeNeededForString(x,?stringLength))?{?needsQuoted?=?false;?StringBuilder?buf?=?new?StringBuilder((int)((double)x.length()?*?1.1D));?buf.append('\'');?for(int?i?=?0;?i?<?stringLength;?++i)?{?char?c?=?x.charAt(i);?switch(c)?{?case?'\u0000':?buf.append('\\');?buf.append('0');?break;?case?'\n':?buf.append('\\');?buf.append('n');?break;?case?'\r':?buf.append('\\');?buf.append('r');?break;?case?'\u001a':?buf.append('\\');?buf.append('Z');?break;?case?'"':?if?(this.session.getServerSession().useAnsiQuotedIdentifiers())?{?buf.append('\\');?}?buf.append('"');?break;?case?'\'':?buf.append('\'');?buf.append('\'');?break;?case?'\\':?buf.append('\\');?buf.append('\\');?break;?case?'￥':?case?'?':?if?(this.charsetEncoder?!=?null)?{?CharBuffer?cbuf?=?CharBuffer.allocate(1);?ByteBuffer?bbuf?=?ByteBuffer.allocate(1);?cbuf.put(c);?cbuf.position(0);?this.charsetEncoder.encode(cbuf,?bbuf,?true);?if?(bbuf.get(0)?==?92)?{?buf.append('\\');?}?}?buf.append(c);?break;?default:?buf.append(c);?}?}?buf.append('\'');?

可以看到mysql-connector-java主要是將將我們’轉(zhuǎn)為了’’,對(duì)于轉(zhuǎn)義的\會(huì)變?yōu)閈\,比如對(duì)于這種SQL：

SELECT?user0_.id?AS?id1_0_,user0_.?PASSWORD?AS?password2_0_,user0_.username?AS?username3_0_?FROM?user_tbl?user0_?WHERE?user0_.username?LIKE?'%\'?or?username?=?0x6d?#%'?

也會(huì)變?yōu)?#xff1a;

SELECT?user0_.id?AS?id1_0_,user0_.?PASSWORD?AS?password2_0_,user0_.username?AS?username3_0_?FROM?user_tbl?user0_?WHERE?user0_.username?LIKE?'%\\''?or?username?=?0x6d?#%'?

有人會(huì)說那我們使用select * from user_tbl where id = 1 and user() = 0x726f6f74406c6f63616c686f7374 這種類似的語(yǔ)句，全程沒有jdbc里面的危險(xiǎn)字符是不是就可以繞過了?mysql-connector-java里面有個(gè)非常巧妙的點(diǎn)是，他會(huì)根據(jù)你傳入的類型判斷。比如傳入的為int類型。就會(huì)走setInt。傳入的為string就會(huì)走setString。所以這段語(yǔ)句還是會(huì)被select * from user_tbl where id = 1 ‘a(chǎn)nd user() = 0x726f6f74406c6f63616c686f7374’

我們看到SQL預(yù)編譯的算法也是非常簡(jiǎn)單。

4. MyBatis

MyBatis是一流的持久性框架，支持自定義SQL，存儲(chǔ)過程和高級(jí)映射。MyBatis可以使用簡(jiǎn)單的XML或注釋進(jìn)行配置?，F(xiàn)在目前國(guó)內(nèi)大部分公司都是采用的MyBatis框架。

(1) 環(huán)境搭建：

下面為我們項(xiàng)目目錄結(jié)構(gòu)：

(2) 使用#{}的方式

#{}也就是我們熟知的預(yù)編譯方式。

訪問http://localhost:8080/getList?p=m 后正常的返回：

使用http://localhost:8080/getList?p=m' or ‘1’ like ‘1

結(jié)果返回為空。不存在注入。

我們將斷點(diǎn)斷在PreparedStatementLogger的invoke方法上面，其實(shí)這里就是一個(gè)代理方法。這里我們看到完整的SQL語(yǔ)句。

同樣我們將斷點(diǎn)斷在：ClientPreparedQueryBindings.setString同樣會(huì)進(jìn)去

Hibernate和MyBatis的預(yù)編譯機(jī)制是一樣的。

(3) 使用${}的方式

${}的方式也就是MyBatis的字符串連接方式。

使用SQLMap很容易就能跑出數(shù)據(jù)：

(4) 關(guān)于OrderBy

之前有聽人說Order By后面的語(yǔ)句是不會(huì)參與預(yù)編譯?這句話是錯(cuò)誤的。Order By也是會(huì)參與預(yù)編譯的。從我們上面的jdbc的setString算法可以看到，是因?yàn)閟etString會(huì)在參數(shù)的前后加上’’，變成字符串。導(dǎo)致Order By失去了原本的意義。只能說是預(yù)編譯方式的Order By不適用而已。所以對(duì)于這種Order By的防御的話建議是直接寫死在代碼里面。對(duì)于Order By方式的注入我們可以通過返回?cái)?shù)據(jù)的順序的不同來(lái)獲取數(shù)據(jù)。

(5) 關(guān)于useServerPrepStmts

其實(shí)在只有JDBC在開啟了useServerPrepStmts=true的情況下才算是真正的預(yù)編譯。但是如果是字符串的拼接方式，預(yù)編譯是沒有效果的。從MySQL的查詢?nèi)罩揪涂梢钥吹??？梢钥吹絇repare的語(yǔ)句。一樣是存在SQL注入的。

我們使用占位符的方式：

上面的語(yǔ)句就不存在SQL注入了。

我想這就是JDBC默認(rèn)為啥不開啟useServerPrepStmts=true的原因吧。

5. 總結(jié)

在能使用預(yù)編譯的情況下我們應(yīng)該要使用預(yù)編譯。在不能使用預(yù)編譯的情況下，可以對(duì)特定類型做規(guī)范，比如傳數(shù)字的需要規(guī)范為Integer,Long等。這樣會(huì)在進(jìn)入數(shù)據(jù)庫(kù)前會(huì)提前拋出異常?；蛘呤褂肧pring的AOP機(jī)制，添加一個(gè)前置的fitler，對(duì)有害的字符清洗或者過濾。但是這樣有點(diǎn)籠統(tǒng)，會(huì)對(duì)全局參數(shù)進(jìn)行清洗。

還有一種比較好的方式是，通過注解的方式，這樣會(huì)比較方便，可復(fù)用性也很好。對(duì)不能進(jìn)行預(yù)編譯的參數(shù)加上過濾有害字符的注解。我們就不在這里做代碼的實(shí)現(xiàn)，網(wǎng)上有很多可以參考的教程?？梢允褂肁pache Jakarta Commons提供的很多方便的方法來(lái)過濾有害字符。

-- <?End > --

最近熱文推薦：

1、數(shù)據(jù)庫(kù)連接池到底應(yīng)該設(shè)多大？

2、Cookie、Session、Token、JWT 還傻傻分不清楚？

3、絕了！一個(gè)妹子 rm -rf 把公司整個(gè)數(shù)據(jù)庫(kù)刪沒了...

4、單懟多線程，60道面試題，你能答上幾個(gè)？（附答案）

5、這21 個(gè)刁鉆的HashMap 面試題，我把阿里面試官吊打了！

6、用 float 存儲(chǔ)金額，老板說損失從工資里扣！

7、美女同事被開除了，因用了Insert into select語(yǔ)句！

8、Redis分布式鎖沒用明白，搞出了大故障…

9、一文講懂什么是 vlan、三層交換機(jī)、網(wǎng)關(guān)、DNS、子網(wǎng)掩碼、MAC地址

10、【收藏了】10分鐘讀懂進(jìn)程線程、同步異步、阻塞非阻塞、并發(fā)并行

看完本文有收獲？請(qǐng)轉(zhuǎn)發(fā)分享給更多有需要的人

關(guān)注?java大數(shù)據(jù)修煉之道

每天學(xué)習(xí)java技術(shù)，你想學(xué)的Java知識(shí)這里都有！

微信掃描二維碼，關(guān)注我的公眾號(hào)

寫留言

朕已閱?

總結(jié)

以上是生活随笔為你收集整理的Java安全编码之SQL注入的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。