[!NOTE]
本次学习使用开源项目:
https://github.com/JoyChou93/java-sec-code/blob/master/src/main/java/org/joychou/controller/SQLI.java使用工具:
浏览器IDEA
什么是 SQL 注入
SQL 注入(SQL Injection) 是 JavaWeb 应用中最常见、最严重的安全漏洞之一。它指的是攻击者将恶意 SQL 语句作为用户输入传入系统,并被后台拼接执行,从而操控数据库。
在 JavaWeb 项目中,最容易出现 SQL 注入的地方是:
- 登录验证
- 搜索查询
- 数据过滤接口
- URL 参数拼接数据库语句
如下面的代码
Statement statement = con.createStatement(); String sql = "select * from users where username = '" + username + "'"; logger.info(sql); ResultSet rs = statement.executeQuery(sql); 如果攻击者输入:
- 用户名:
username = ' OR '1'='1
那么 SQL 就变成:
select * from users where username = '' OR '1'='1' 那么条件判断永远为真,就能达到绕过的目的
JDBC 模式下的 SQL 注入
1、最原始的拼接注入
关键 Code
public String jdbc_sqli_vul( String username) { StringBuilder result = new StringBuilder(); try { Class.forName(driver); Connection con = DriverManager.getConnection(url, user, password); if (!con.isClosed()) System.out.println("Connect to database successfully."); // sqli vuln code Statement statement = con.createStatement(); String sql = "select * from users where username = '" + username + "'"; logger.info(sql); ResultSet rs = statement.executeQuery(sql); while (rs.next()) { String res_name = rs.getString("username"); String res_pwd = rs.getString("password"); String info = String.format("%s: %sn", res_name, res_pwd); result.append(info); logger.info(info); } rs.close(); con.close(); } catch (ClassNotFoundException e) { logger.error("Sorry,can`t find the Driver!"); } catch (SQLException e) { logger.error(e.toString()); } return result.toString(); } 可以看到接受 Get 参数之后,直接进行了 SQL 语句拼接处理
下面为漏洞关键代码
Statement statement = con.createStatement(); String sql = "select * from users where username = '" + username + "'"; logger.info(sql); ResultSet rs = statement.executeQuery(sql); 构造 Payload
http://127.0.0.1:8081/sqli/jdbc/vuln?username=joychou' or '1'='1 通过打断点查看,发现最终执行的 SQL 语句变成了 select * from users where username = 'joychou' or '1'='1',从而达到绕过的目的
修复方式
通过参数化查询+预编译,可以达到避免 SQL 注入的目的,代码示例如下:
String sql = "select * from users where username = ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, username); ResultSet rs = st.executeQuery(); PreparedStatement 是 Java JDBC 提供的预编译 SQL 语句接口,它允许开发者在 SQL 语句中使用占位符 ?,然后通过绑定参数的方式传入用户数据。数据库在执行时会先对 SQL 语句结构进行编译,之后再将参数作为数据绑定进去,保证了输入内容不会被当作 SQL 代码执行。
这种机制有效防止了 SQL 注入攻击,因为即便用户输入中包含恶意的 SQL 片段,也不会被当作语句解析执行,而只会作为普通字符串处理,从而提高了系统的安全性和稳定性。此外,PreparedStatement 还可以提升执行效率,尤其是对相同语句多次执行时,可以复用预编译结果,减少数据库负担。
在使用参数化查询+预编译后,在对代码进行调试,查看最终执行的 SQL 语句
可以发现,最终执行的语句变成了 select * from users where username = 'joychou' or '1'='1'
在这里,预编译机制会将用户输入作为 纯字符串值 处理,自动对特殊字符(如单引号 ')进行转义,因此即使输入中包含类似 ' or '1'='1 的恶意内容,也不会改变 SQL 语句的逻辑结构。从而达到了防止 SQL 注入的目的
Mybatis模式下的SQL注入
Mybatis下SQL的写法
Mybatis有两种SQL语句写法:
-
使用注解
@Select("select * from users where username = #{username}") User findByUserName(@Param("username") String username); -
使用XML文件映射
<select id="findByUserNameVsec02" parameterType="String" resultMap="User"> select * from users where username like concat('%',#{_parameter}, '%') </select>
关于Mybatis下SQL的两种拼接方法
Mybatis中存在两种SQL语句拼接方法:
- ${xxxxxx} 直接拼接,可以理解为上面的JDBC最原始的拼接 ,是一种不安全的方法
- #{xxxxxx} 预处理后拼接,是一种安全的方法
在 MyBatis 中,${} 和 #{} 的区别非常关键,它们直接影响到 SQL 是否存在注入风险:
-
${}是字符串替换,会在 SQL 拼接阶段将参数原样插入 SQL 中,不经过任何预处理或转义。如果用户输入中包含恶意 SQL 片段,就可能被拼接进最终 SQL 并执行,存在严重的 SQL 注入风险。例如:
<select id="findUser" resultType="User"> select * from users where username = '${username}' </select>
如果用户输入是 joychou' or '1'='1,最终 SQL 将变为:
select * from users where username = 'joychou' or '1'='1' 那么体现在SQL语句上,这两种方法有什么区别呢?
#{}会给传入的值自动加上单引号
如select * from #{param} ,如给param传入值为xxxx时,SQL会被拼接成 select * from 'xxxx' ,这是因为#{}自动给拼接上的参数加上了单引号
${}就是什么都不变的直接拼接了
如 select * from ${param} ,如给param传入值为xxxx时,SQL会被拼接成 select * from xxxx ,可以注意这里并没有单引号,因为${}是直接拼接
这就给Mybatis下的SQL注入带来了可乘之机
在SQL语句中存在很多不能包含单引号的情况,例如:被拼接的参数是表名、数据库名、字段名等 , 这一情况在 order by 中尤为常见
能否使用#{}的总结表格:
| 场景 | 能否使用 #{} |
是否建议用 ${} |
风险说明 |
|---|---|---|---|
| 表名 | ❌ 否 | ✅ 可用(需白名单) | 否则无法拼接 SQL |
| 列名 / 字段名 | ❌ 否 | ✅ 可用(需白名单) | 常用于排序、动态列选择 |
| 排序方向(ASC/DESC) | ❌ 否 | ✅ 可用(需白名单) | 否则 SQL 报错 |
| SQL 关键字 | ❌ 否 | ✅ 可用(需白名单) | 如运算符、动态语法结构 |
| LIMIT / OFFSET | 一般 ✅ 可用 | ✅ 可用(需数值校验) | 数据库版本不同兼容性需注意 |
| 数据库函数名 | ❌ 否 | ✅ 可用(需白名单) | 如 count, sum 可拼接但需控制 |
因此,在这种不得不使用${}的情况下,需要格外注意对参数的过滤,如下面的代码
//使用了过滤器的order by执行语句 @GetMapping("/mybatis/orderby/sec04") public List<User> mybatisOrderBySec04(@RequestParam("sort") String sort) { String filter_order = SecurityUtil.sqlFilter(sort); return userMapper.findByUserNameVuln03(filter_order); } //过滤器 private static final Pattern FILTER_PATTERN = Pattern.compile("^[a-zA-Z0-9_/\.-]+$"); public static String sqlFilter(String sql) { if (!FILTER_PATTERN.matcher(sql).matches()) { return null; } return sql; } 
