1、注入sql 注入是避开什么sql 注入就是用户通过输入的参数,拼接到原先的注入 sql 中,成为 sql 的避开一部分,从而影响 sql 的注入功能和执行结果 2、sql 注入破坏力-小兵破坏力比如原先 sql 如下
用户输入 复制name:臻大虾-- 注释 password:密码 1.2.那最终的避开结果猜猜是什么? 复制select * from user where name=臻大虾-- 注释 and password=密码; 1.两个-- 代表注释,所以这条 sql 只需要输入用户名,注入就可以获取用户信息,避开跳过了密码的注入校验 -boss 破坏力来个厉害的,比如用户输入以下参数 复制name:臻大虾 password:; drop table user;-- 注释 1.2.最终的避开 sql: 复制select * from user where name=臻大虾 and password=; drop table user;-- 注释; 1.user 表居然被删除了,看到这,注入此时的服务器托管避开你可能想原地爆炸。 3、注入对策3.1、避开PreparedStatement 预编译使用预编译,注入这样传入的参数,会被当作字符串,也就是被引号包起来 拿刚才的例子,用户输入 复制name:臻大虾-- 注释 password:密码 1.2.如果使用了预编译,那最终的 sql 复制select * from user where name=臻大虾\-- \注释 and password=密码; 1.参数中的引号被转义,从而避免成为 sql 的一部分。 3.2、有些语句不能预编译预编译获取参数是根据#,而$ 是拼接的意思 #{}:解析为预编译语句的企商汇一个参数占位符 ${}:仅仅作为一个字符串,在动态 sql 中直接替换变量,传入什么值,就是什么值 比如传入:臻大虾 or 1=1 复制1、SELECT * FROM user WHERE name=#{name} //SELECT * FROM user WHERE name=\臻大虾\ or 1=1 2、SELECT * FROM user WHERE name=${name} //SELECT * FROM user WHERE name=臻大虾 or 1=1 1.2.但是有些情况使用#会报错,比如 like、in 如果使用#会报错,而使用 还有 order by,根据传入的参数排序,这些情况就会有 sql 注入的危险,那怎么办呢? like 复制select * from user where name like %#{name}%//会报错 select * from user where name like %${name}%//正常 1.2.正确写法 使用 mysql 的字符串拼接函数 concat 复制select * from user where name like concat(%,#{name},%) 1.in 正确写法,使用 foreach 复制@Select("<script>" + "select * from user where id in "+ "<foreach item=item index=index collection=userIds open=( separator=, close=)> " + "#{item}" + "</foreach>"+ "</script>") List<User> getByIds(@Param("userIds") List<Long> userIds); 1.2.3.4.5.6.7.order by 有时需要根据前端传入的参数来排序,此时就会有 sql 注入的危险,此时可以使用白名单 比如 复制List<String> allowSortColumnList= Lists.newArrayList("age","score"); if(!allowSortColumnList.contains(sortParam)){ thrownew RuntimeException("can not sort by "+sortParam); } 1.2.3.4.香港云服务器 |
