Chinaunix首页 | 论坛 | 博客
  • 博客访问: 206184
  • 博文数量: 47
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1259
  • 用 户 组: 普通用户
  • 注册时间: 2013-07-24 10:20
文章分类
文章存档

2014年(21)

2013年(26)

分类: 网络与安全

2013-08-02 10:42:21

看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:
 
 
Xml代码
 

 
 
 
Java代码
 
public List getSchoolByName(String name) throws DataAccessException {
 
    List list = (List)getSqlMapClientTemplate().queryForList("getSchoolByName",name);
 
    return list;
 
}
 
     测试用例:
 
Java代码
 
@Test
 
public void print(){
 
        try{
 
            List list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");
 
            for(School school : list){
 
                System.out.println(school.getName());
 
            }
 
        }catch(Exception e){
 
            e.printStackTrace();
 
        }
 
    }
 
    用p6spy查看最后生成的sql语句:
 
 
 
Sql代码
 
sql1:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'    
 
 
 
sql2:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'
 
     其中:sql1是ibatis放入preparedstatement执行的sql,sql2是jdbc执行的真正sql,在这个例子里二者一样的,因为在map里使用的占位符是$name$,ibatis遇到这样的占位符,就直接拼sql语句了,而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是,但是不能用来搞模糊查询)。
 
 
 
    在实际项目中的后果就是:如果在页面上有个输入框,让用户输入学校名字,用户输入 长乐一中%' or '1%' = '1 的字样,那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记,假删除),不想让用户再看到或者某些学校信息当前用户没有权限看到。
 
 
 
    在《ibatis in action》里,例举了这个注入漏洞一个更可怕的后果,删表。修改测试用例如下:
 
Java代码
 
@Test    
 
public void print(){
 
        try{
 
            List list = schoolDao.getSchoolByName("长乐一中';drop table tbl_test;#");
 
            for(School school : list){
 
                System.out.println(school.getName());
 
            }
 
        }catch(Exception e){
 
            e.printStackTrace();
 
        }
 
    }
 
    用p6spy查看最后生成的sql语句:
 
Sql代码
 
select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'
 
select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'  
 
    在mysql中,#是注释符.复制以下sql代码在phpmyadmin中执行,tbl_test确实被删掉了。但是用ibatis执行这句sql却失败,debug了下ibatis的源代码,发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句,但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行,差不多下面这样:
 
Java代码
 
String sql = "select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'"
 
 
 
PreparedStatement ps = conn.prepareStatement(sql);
 
 
 
ps.execute();
 
    这样的执行就会报错,也就删除不了tbl_test这张表了。。。奇怪了。。难道《ibatis in action》这书上讲错了?
 
    以上代码都是在ibatis2.3.4的环境下测试的。没试过以前的版本。。
 
 
 
    但是在使用ibatis的时候难道就不能like查询了?或者要在web层或者service层对用户的输入条件作一次过滤么?太麻烦了。还好ibatis提供的另一种占位符#在用PreparedStatement执行查询的时候,是用?作占位符,然后set paramter的。。把map里的sql语句改成这样吧:(参考了网上的sql语句)
 
Sql代码
 
mysql: select * from tbl_school where school_name like concat('%',#name#,'%')
 
 
 
oracle: select * from tbl_school where school_name like '%'||#name#||'%'
 
 
 
SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'
阅读(7307) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~