Mybatis常用注解中的SQL注入实例详解

网友投稿 578 2022-08-28


Mybatis常用注解中的SQL注入实例详解

目录前言常见注入场景2.1普通注解2.2 动态sql2.2.1 使用< script>2.2.2 使用Provider注解总结

前言

MyBatis3提供了新的基于注解的配置。主要在MapperAnnotationBuilder中,定义了相关的注解:

public MapperAnnotationBuilder(Configuration configuration, Class> type) {

...

sqlAnnotationTypes.add(Select.class);

sqlAnnotationTypes.add(Insert.class);

sqlAnnotationTypes.add(Update.class);

sqlAnnotationTypes.add(Delete.class);

......

sqlProviderAnnotationTypes.add(SelectProvider.class);

sqlProviderAnnotationTypes.add(InsertProvider.class);

sqlProviderAnnotationTypes.add(UpdateProvider.class);

sqlProviderAnnotationTypes.add(DeleteProvider.class);

}

增删改查占据了绝大部分的业务操作,通过注解不在需要配置繁杂的xml文件,越来越多的sql交互均通过注解来实现。从MapperAnnotationBuilder可以看到Mybatis提供了以下相关的注解:

@Select@Insert@Update@Delete@SelectProvider@InsertProvider@UpdateProvider@DeleteProvider

例如如下例子,使用@Select注解直接编写SQL完成数据查询:

@Mapper

public interface UserMapper {

@Select("select * from t_user")

List list();

}

使用类似@SelectProvider高级注解可以指定某个工具类的方法来动态编写SQL,以应对复杂的业务需求。以@SelectProvider 为例,查看具体的实现,主要包含两个注解属性,其中type表示工具类,method 表示工具类的某个方法,用于返回具体的SQL:

@Documented

@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

public @interface InsertProvider {

// 用于指定获取 sql 语句的指定类

Class> type();

// 指定类中要执行获取 sql 语句的方法

String method();

}

使用方法如下,在ProjectSql类的getContentByProjectIds方法定义相关的sql即可,sql的定义可以通过org.apache.ibatis.jdbc.SQL来快速实现:@SelectProvider(type = ProjectSql.class, method = "getContentByProjectIds")List getContentByProjectIds(List projectIds);

常见注入场景

2.1普通注解

实际上跟xml配置中对应的标签语法是一样的(例如@Select对应

在Mybatis中,#的作用主要是替换预编译语句(PrepareStatement)中的占位符?,$是直接的SQL拼接。以like模糊查询 为例子:

例如如下例子:

跟xml配置一样,like模糊查询直接使用#预编译的方式进行注解的话会触发异常,所以很多时候直接使用$进行注解:

@Select("SELECT id, name, age, email FROM user where name like '${name}'")List queryUserByName(@Param("name") String name);

那么此时name前端用户可控的话,将导致SQL注入风险。

图片查看sql日志,成功执行1/0触发sql error,说明注入成功:

处理这类SQL问题也很简单,使用sql的内置函数进行拼接,拼接后再采用#预编译的方式进行查询。例如上面案例是h2数据库的,使用'||'拼接再进行预编译处理即可:

@Select("SELECT id, name, age, email FROM user where name like '%'||#{name}||'%'")List queryUserByName(@Param("name") String name);

此时已使用预编译进行SQL查询:

此外,类似Order by、动态表名,无法采用预编译的方式情况,可以在在代码层使用间接引用的方式进行处理。

对于范围查询in,熟悉mybatis注入的话,是需要使用MyBatis自带的循环指令foreach来解决SQL语句动态拼接的,当使用注解时,就需要使用< script>标签来引入foreach了。

2.2 动态sql

2.2.1 使用< script>

要在带普通注解的映射器接口类中使用动态 SQL,可以使用script 元素。跟xml类似,主要是如下的元素:

if

choose (when, otherwise)

trim (where, set)

foreach

相关的注入场景跟2.1也是类似的。也是离不开$。此外,在进行同条件多值查询(例如范围查询in)的时候,可以使用MyBatis自带的循环指令foreach来解决SQL语句动态拼接的问题。

2.2.2 使用Provider注解

可以通过使用Provider注解指定某个工具类的方法来动态编写SQL。以@SelectProvider为例:

首先在mapper中使用@SelectProvider定义相关的方法,其中type表示工具类,method 表示工具类的某个方法,用于返回具体的SQL。例如下面的例子:通过传递userIds以及name,查询相关的用户信息,在UserInfoSql类的getUserInfoByids方法定义了具体的SQL内容:

/**

* @param userIds 必填

* @param name 可选

* @return

*/

@SelectProvider(type = UserInfoSql.class, method = "getUserInfoByids")

List getUserInfoByids(List userIds, String name);

class UserInfoSql {

public String getUserInfohttp://Byids(List userIds, String name) {

SQL sql = new SQL();

sql.SELECT("id, name, age, email");

sql.FROM("user");

sql.WHERE("id in(" + Joiner.on(',').join(userIds) + ")");

if(StringUtil.isNotBlank(name)){

sql.WHERE("name like '%" + name + "%'");

}

sql.ORDER_BY("id desc");

return sql.toString();

}

}

在Controller调用具体方法就可以进行sql查询了:

@RequestMapping(value = "/getUserInfoByids")

public List getUserInfoByids(String name,@RequestParam List userIds){

List userList = userMapper.getUserInfoByids(userIds,name);

return userList;

}

正常请求返回对应的用户信息:

前面是通过MyBatis 3 提供的工具类org.apache.ibatis.jdbc.SQL来生成SQL的。该类提供了类似select、where、ORDER_BY等方法来完成SQL生成的操作。这里有个误区,很多开发认为这里工具类会进行相关的预编译处理。

实际上Provider其实只需要返回一个SQL字符串,工具类只不过用了一些关键字做格式化而已,甚至可以直接使用StringBuffer拼接SQL语句。同样是上面的例子,List userIds是long类型,但是name是String类型,可以尝试注入:

查看相关日志,成功执行1/0逻辑触发SQL error,也印证了Provider实际上只是 SQL 拼接,没有做相关的安全处理 :

相比@Select@,SelectProvider 只是在定义注解的方式上有所不同, 前者是直接定义 sql, 一个是在外部定义好 sql 直接引用, 没本质上的区别,所以解决方法是在对应的sql场景,使用#进行预编译进行处理,例如这里的like模糊查询和in范围查询:

@SelectProvider(type = UserInfoSql.class, method = "getUserInfoByids")

List getUserInfoByids(@Param("userIds")List userIds,@Param("name")String name);

class UserInfoSql {

public String getUserInfoByids(@Param("userIds")List userIds, @Param("name")String name) {

StringBuilder sql = new StringBuilder(128);

sql.append("< script>SELECT id, name, age, email FROM user WHERE (id in");

sql.append("#{item}");

if(StringUtil.isNotBlank(name)){

sql.append("and name like '%'||#{name}||'%')");

}

sql.append("ORDER BY id desc");

return sql.toString();

}

}

查看sql日志,此时使用预编译进行sql处理,避免了SQL注入风险。

总结


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:python之声明函数时指定传入参数的数据类型 || 函数return返回值的数据类型(函数参数的注释以及函数返回值的注释)|| python之内置typing模块:类型提示支持(python函数怎么传递参数)
下一篇:python之标准输入(stdin)、标准输出(stdout)、标准错误(stdout)(python中stdin)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~