Java安全_SQL注入

!NOTE

本次学习使用开源项目:
https://github.com/JoyChou93/java-sec-code/blob/master/src/main/java/org/joychou/controller/SQLI.java

使用工具:

浏览器

IDEA

目录

什么是 SQL 注入

SQL 注入(SQL Injection) 是 JavaWeb 应用中最常见、最严重的安全漏洞之一。它指的是攻击者将恶意 SQL 语句作为用户输入传入系统,并被后台拼接执行,从而操控数据库。

在 JavaWeb 项目中,最容易出现 SQL 注入的地方是:

  • 登录验证
  • 搜索查询
  • 数据过滤接口
  • URL 参数拼接数据库语句

如下面的代码

java 复制代码
            Statement statement = con.createStatement();
            String sql = "select * from users where username = '" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);

如果攻击者输入:

  • 用户名:username = ' OR '1'='1

那么 SQL 就变成:

sql 复制代码
select * from users where username = '' OR '1'='1'

那么条件判断永远为真,就能达到绕过的目的

JDBC 模式下的 SQL 注入

1、最原始的拼接注入

关键 Code

java 复制代码
public String jdbc_sqli_vul( String username) {

        StringBuilder result = new StringBuilder();

        try {
            Class.forName(driver);
            Connection con = DriverManager.getConnection(url, user, password);

            if (!con.isClosed())
                System.out.println("Connect to database successfully.");

            // sqli vuln code
            Statement statement = con.createStatement();
            String sql = "select * from users where username = '" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);

            while (rs.next()) {
                String res_name = rs.getString("username");
                String res_pwd = rs.getString("password");
                String info = String.format("%s: %s\n", res_name, res_pwd);
                result.append(info);
                logger.info(info);
            }
            rs.close();
            con.close();


        } catch (ClassNotFoundException e) {
            logger.error("Sorry,can`t find the Driver!");
        } catch (SQLException e) {
            logger.error(e.toString());
        }
        return result.toString();
    }

可以看到接受 Get 参数之后,直接进行了 SQL 语句拼接处理

下面为漏洞关键代码

java 复制代码
            Statement statement = con.createStatement();
            String sql = "select * from users where username = '" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);

构造 Payload

复制代码
http://127.0.0.1:8081/sqli/jdbc/vuln?username=joychou' or '1'='1

通过打断点查看,发现最终执行的 SQL 语句变成了 select * from users where username = 'joychou' or '1'='1',从而达到绕过的目的

修复方式

通过参数化查询+预编译,可以达到避免 SQL 注入的目的,代码示例如下:

java 复制代码
String sql = "select * from users where username = ?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, username);
ResultSet rs = st.executeQuery();

PreparedStatement 是 Java JDBC 提供的预编译 SQL 语句接口,它允许开发者在 SQL 语句中使用占位符 ?,然后通过绑定参数的方式传入用户数据。数据库在执行时会先对 SQL 语句结构进行编译,之后再将参数作为数据绑定进去,保证了输入内容不会被当作 SQL 代码执行。

这种机制有效防止了 SQL 注入攻击,因为即便用户输入中包含恶意的 SQL 片段,也不会被当作语句解析执行,而只会作为普通字符串处理,从而提高了系统的安全性和稳定性。此外,PreparedStatement 还可以提升执行效率,尤其是对相同语句多次执行时,可以复用预编译结果,减少数据库负担。

在使用参数化查询+预编译后,在对代码进行调试,查看最终执行的 SQL 语句

可以发现,最终执行的语句变成了 select * from users where username = 'joychou\' or \'1\'=\'1'

在这里,预编译机制会将用户输入作为 纯字符串值 处理,自动对特殊字符(如单引号 ')进行转义,因此即使输入中包含类似 ' or '1'='1 的恶意内容,也不会改变 SQL 语句的逻辑结构。从而达到了防止 SQL 注入的目的

Mybatis模式下的SQL注入

Mybatis下SQL的写法

​ Mybatis有两种SQL语句写法:

  • 使用注解

    java 复制代码
        @Select("select * from users where username = #{username}")
        User findByUserName(@Param("username") String username);
  • 使用XML文件映射

    xml 复制代码
        <select id="findByUserNameVsec02" parameterType="String" resultMap="User">
            select * from users where username like concat('%',#{_parameter}, '%')
        </select>

关于Mybatis下SQL的两种拼接方法

​ Mybatis中存在两种SQL语句拼接方法:

  • ${xxxxxx} 直接拼接,可以理解为上面的JDBC最原始的拼接 ,是一种不安全的方法
  • #{xxxxxx} 预处理后拼接,是一种安全的方法

​ 在 MyBatis 中,${}#{} 的区别非常关键,它们直接影响到 SQL 是否存在注入风险:

  • ${}字符串替换 ,会在 SQL 拼接阶段将参数原样插入 SQL 中,不经过任何预处理或转义 。如果用户输入中包含恶意 SQL 片段,就可能被拼接进最终 SQL 并执行,存在严重的 SQL 注入风险

    例如:

    xml 复制代码
    <select id="findUser" resultType="User">
        select * from users where username = '${username}'
    </select>

​ 如果用户输入是 joychou' or '1'='1,最终 SQL 将变为:

sql 复制代码
select * from users where username = 'joychou' or '1'='1'

那么体现在SQL语句上,这两种方法有什么区别呢?

#{}会给传入的值自动加上单引号

​ 如select * from #{param} ,如给param传入值为xxxx时,SQL会被拼接成 select * from 'xxxx' ,这是因为#{}自动给拼接上的参数加上了单引号

${}就是什么都不变的直接拼接了

​ 如 select * from ${param} ,如给param传入值为xxxx时,SQL会被拼接成 select * from xxxx ,可以注意这里并没有单引号,因为${}是直接拼接

​ 这就给Mybatis下的SQL注入带来了可乘之机

​ 在SQL语句中存在很多不能包含单引号的情况,例如:被拼接的参数是表名、数据库名、字段名等 , 这一情况在 order by 中尤为常见

++能否使用#{}的总结表格:++
场景 能否使用 #{} 是否建议用 ${} 风险说明
表名 ❌ 否 ✅ 可用(需白名单) 否则无法拼接 SQL
列名 / 字段名 ❌ 否 ✅ 可用(需白名单) 常用于排序、动态列选择
排序方向(ASC/DESC) ❌ 否 ✅ 可用(需白名单) 否则 SQL 报错
SQL 关键字 ❌ 否 ✅ 可用(需白名单) 如运算符、动态语法结构
LIMIT / OFFSET 一般 ✅ 可用 ✅ 可用(需数值校验) 数据库版本不同兼容性需注意
数据库函数名 ❌ 否 ✅ 可用(需白名单) count, sum 可拼接但需控制

​ 因此,在这种不得不使用${}的情况下,需要格外注意对参数的过滤,如下面的代码

java 复制代码
//使用了过滤器的order by执行语句
@GetMapping("/mybatis/orderby/sec04")
    public List<User> mybatisOrderBySec04(@RequestParam("sort") String sort) {
        String filter_order = SecurityUtil.sqlFilter(sort);
        return userMapper.findByUserNameVuln03(filter_order);
    }
java 复制代码
//过滤器
private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\\.-]+$");
public static String sqlFilter(String sql) {
        if (!FILTER_PATTERN.matcher(sql).matches()) {
            return null;
        }
        return sql;
    }