看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:
Xml代码
Java代码
public List getSchoolByName(String name) throws DataAccessException {
List list = (List)getSqlMapClientTemplate().queryForList("getSchoolByName",name);
return list;
}
测试用例:
Java代码
@Test
public void print(){
try{
List list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");
for(School school : list){
System.out.println(school.getName());
}
}catch(Exception e){
e.printStackTrace();
}
}
用p6spy查看最后生成的sql语句:
Sql代码
sql1:select * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'
sql2:select * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'
其中:sql1是ibatis放入preparedstatement执行的sql,sql2是jdbc执行的真正sql,在这个例子里二者一样的,因为在map里使用的占位符是$name$,ibatis遇到这样的占位符,就直接拼sql语句了,而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是,但是不能用来搞模糊查询)。
在实际项目中的后果就是:如果在页面上有个输入框,让用户输入学校名字,用户输入 长乐一中%' or '1%' = '1 的字样,那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记,假删除),不想让用户再看到或者某些学校信息当前用户没有权限看到。
在《ibatis in action》里,例举了这个注入漏洞一个更可怕的后果,删表。修改测试用例如下:
Java代码
@Test
public void print(){
try{
List list = schoolDao.getSchoolByName("长乐一中';drop table tbl_test;#");
for(School school : list){
System.out.println(school.getName());
}
}catch(Exception e){
e.printStackTrace();
}
}
用p6spy查看最后生成的sql语句:
Sql代码
select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'
select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'
在mysql中,#是注释符.复制以下sql代码在phpmyadmin中执行,tbl_test确实被删掉了。但是用ibatis执行这句sql却失败,debug了下ibatis的源代码,发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句,但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行,差不多下面这样:
Java代码
String sql = "select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'"
