什么是SQL注入?如何预防?

甲蛙全栈
155 阅读2分钟

SQL注入是项目开发中很重要的一个概念,初级中级面试的概率非常高,需要重点掌握!

喜欢听我叨叨的,直接点击看视频

1 准备工作

本次演示使用的是目前最热门的Java快速开发架构:SpringBoot2.3.4 + Mybatis + Mysql8

先准备一张测试表:

drop table if exists `test`;
create table `test` (
  id bigint not null comment 'id',
  name varchar(50) comment '名称',
  primary key (`id`)
) engine=innodb default charset=utf8mb4 comment='测试';

insert into `test` (id, name) values (1, 'test1');
insert into `test` (id, name) values (2, 'test2');

TestController:

@RequestMapping("/find")
public List<Test> test(@RequestBody Map<String, String> map) {
    return testService.find(map.get("id"));
}

TestService:

public List<Test> find(String id) {
    return testMapper.find(id);
}

TestMapper.java:

public List<Test> find(@Param("id") String id);

TestMapper.xml:

<select id="find" resultType="com.jiawa.demo.domain.Test">
    select `id`, `name` from `test` where id = #{id}
</select>

测试:test.http(使用IDEA自带的HttpClient)

GET http://localhost:8080/test/find
Content-Type: application/json
Accept: application/json

{
  "id": "1" # 改为3则查不出数据,表里没id=3
}

测试结果:查出id=1的数据,修改test.http,改为3,则查不出数据

[  {    "id": "1",    "name": "test1"  }]

上面这些都是正常的代码,演示结果也正常

2 注入演示:获取数据

由于手滑,把xml里的#,写成了$

<select id="find" resultType="com.jiawa.demo.domain.Test">
    select `id`, `name` from `test`  where id = ${id}
</select>

测试正常值id=1,能查出数据,但是如果脚本参数改为这样

GET http://localhost:8080/test/find
Content-Type: application/json
Accept: application/json

{
  "id": "3 or 1=1"
}

结果:表里所有的数据全部都查出来了!

[  {    "id": "1",    "name": "test1"  },  {    "id": "2",    "name": "test2"  }]

3 注入演示:删除数据

现在我在数据库连接里增加一个参数,xml里还是手滑,写成$:

allowMultiQueries=true (不知道怎么看开启的可以看视频)
...
select `id`, `name` from `test` where id = ${id}

脚本写成这样:

GET http://localhost:8080/test/find
Content-Type: application/json
Accept: application/json

{
  "id": "1; delete from test"
}

结果:表里的数据全没了!!!

4 如何预防

总结如下三点,具体可以看视频:

  1. 使用#代替$,使用PreparedStatement代替SQL拼接
  2. 后端记得做参数校验,后端永远不要相信前端
  3. 打开allowMultiQueries要慎重,尽量不要打开

5 高频面试题

Q:什么是SQL注入?如何预防?

**A:**通过输入特定的参数来改变SQL意图,可以将演示的注入现象简述一遍。如何预防见上面第4点。

****Q:Mybatis里#和$的区别是什么?

**A:**这两个都可以用来传递变量。#对应会变成占位符"?",可防止注入。$是简单的值传递,是啥填啥。

****Q:Mybatis和JDBC什么关系?

**A:**或问Mybatis原理是什么?Mybatis就是封装了JDBC。

****Q:SQL日志里的“?”是什么作用?

**A:**或问:JDBC中的“?”是什么作用?"?"是Mysql中预编译功能的占位符。

关于Mysql的预编译的讲解,敬请关注公众号:甲蛙全栈!

——————_THE END _——————

avatar
文章
阅读
粉丝