欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

预防sql注入攻击的应对措施

程序员文章站 2022-06-23 16:25:46
sql注入是一种攻击手段。攻击者通过向应用程序提交恶意代码来改变原sql语句的含义,进而执行任意sql命令,达到入侵数据库乃至操作的目的。在mybatis mapper xml中,#变量名称创建参数...

sql注入是一种攻击手段。攻击者通过向应用程序提交恶意代码来改变原sql语句的含义,进而执行任意sql命令,达到入侵数据库乃至操作的目的。在mybatis mapper xml中,#变量名称创建参数化查询sql语句,不会导致sql注入。而$变量名称直接使用sql指令,会导致sql注入攻击。

例如:以下代码片段采用$变量名称动态地构造并执行了sql查询。

    <!--select user information by name-->

    <select id="querybyusername" resultmap="userresultmap" parametertype="string">

        select * from db_user where user_name=${username}

    </select>

如果攻击者能够替代username中的任意字符串,它们可以使用下面的关于username的字符串进行sql注入。

    validuser' or '1'='1 

当其注入到命令时,命令就会变成:

    select * from db_user where user_name =’validuser' or '1'='1'

修复建议:

造成sql注入攻击的根本原因在于攻击者可以改变sql查询的上下文,使程序员原本要作为数据解析的数值,被篡改为命令了。防止sql注入的方法如下:

(1)正确使用参数化api进行sql查询。

(2)如果构造sql指令时需要动态加入约束条件,可以通过创建一份合法字符串列表,使其对应于可能要加入到sql指令中的不同元素,来避免sql注入攻击。

例如:以下代码片段采用#变量名称,创建参数化查询sql语句。

     <!--select user information by name-->

     <select id="querybyusername" resultmap="userresultmap" parametertype="string">

         select * from db_user where user_name=#{username}

     </select>