Exemples de code sur la façon dont Mybatis empêche l'injection SQL

Cet article présente les informations pertinentes de Mybatis pour empêcher l'injection SQL à travers des exemples. Il est très bon et a une valeur de référence. Les amis dans le besoin peuvent s'y référer

L'injection SQL est familière à tout le monde et est courante. La méthode d'attaque consiste à ce que l'attaquant saisisse des fragments SQL étranges dans les informations de formulaire ou l'URL de l'interface, tels que des instructions telles que "or '1'='1'", qui peuvent envahir les applications avec une vérification insuffisante des paramètres. Par conséquent, nous devons travailler sur nos applications pour empêcher de telles attaques. Dans certaines applications de sécurité, telles que les logiciels bancaires, il est souvent utilisé pour remplacer toutes les instructions SQL par des procédures stockées pour empêcher l'injection SQL. C'est bien sûr une méthode très sûre, mais dans notre développement quotidien, nous n’avons peut-être pas besoin de cette méthode rigide.

mybatisFrameworkEn tant que framework de couche de persistance semi-automatique, nous devons écrire manuellement ses instructions SQL nous-mêmes. Bien sûr, nous devons empêcher l'injection SQL pour le moment. En fait, le sql de Mybatis est une structure avec fonction "entrée + sortie", similaire à la fonction , comme suit :

<select id="getBlogById" resultType="Blog" parameterType=”int”>
  select id,title,author,content
  from blog where id=#{id}
 </select>

Ici, ParameterType est marqué Indique le type de paramètre d'entrée et resultType indique le type de paramètre de sortie. En réponse à ce qui précède, si nous voulons empêcher l'injection SQL, il est naturel que nous travaillions dur sur les paramètres d'entrée. La partie en surbrillance dans le code ci-dessus est la partie où les paramètres d'entrée sont épissés dans SQL. Après avoir transmis les paramètres, imprimez l'instruction SQL exécutée et vous verrez que le SQL ressemble à ceci :

select id,title,author,content from blog where id = ?

Peu importe les paramètres saisis, le SQL imprimé sera comme ceci. En effet, mybatis a activé la fonction de pré-compilation. Avant l'exécution du SQL, le SQL ci-dessus sera envoyé à la base de données pour compilation. Lors de l'exécution, le SQL compilé sera utilisé directement et l'espace réservé "?" Étant donné que l'injection SQL ne peut affecter que le processus de compilation, cette méthode peut bien éviter le problème de l'injection SQL.

Comment mybatis réalise-t-il la pré-compilation SQL ? En fait, au bas du framework, la classe PreparedStatement dans jdbc est à l'œuvre. PreparedStatement est une sous-classe de Statement que nous connaissons très bien. Son

objet contient des instructions SQL compilées. Cette approche « prête » améliore non seulement la sécurité, mais améliore également l'efficacité lors de l'exécution répétée d'un SQL. La raison en est que le SQL a été compilé et n'a pas besoin d'être compilé à nouveau lors de sa nouvelle exécution.

Cela dit, pouvons-nous définitivement empêcher l'injection SQL en utilisant mybatis ? Bien sûr que non, veuillez regarder le code suivant :

<select id="orderBlog" resultType="Blog" parameterType=”map”>
  select id,title,author,content
  from blog order by ${orderParam}
 </select>

Regardez attentivement, le format du paramètre en ligne est passé de "#{xxx}" à ${ xxx}. Si nous attribuons la valeur de "id" au paramètre "orderParam" et imprimons le SQL, cela ressemblera à ceci :

sélectionnez l'identifiant, le titre, l'auteur, le contenu du blog, commandez par identifiant

Évidemment, c'est le cas. Il n'y a aucun moyen d'empêcher l'injection SQL. Dans mybatis, les paramètres au format "${xxx}" participeront directement à la compilation SQL, les attaques par injection ne pourront donc pas être évitées. Mais lorsqu'il s'agit de noms de tables et de colonnes dynamiques, seuls les formats de paramètres tels que "${xxx}" peuvent être utilisés. Par conséquent, ces paramètres doivent être traités manuellement dans le code pour empêcher l'injection.

Conclusion : lors de la rédaction de l'instruction de mappage de mybatis, essayez d'utiliser le format "#{xxx}". Si vous devez utiliser des paramètres tels que "${xxx}", vous devez les filtrer manuellement pour empêcher les attaques par injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!