看《ibatis in action》，里面提到了使用iBatis like查詢的時(shí)候，會(huì)有注入漏洞。舉例說(shuō)明如下：

Xml代碼

<select id="getSchoolByName" resultMap="result">    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
</select>    

Java代碼

<select id="getSchoolByName" resultMap="result">    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
</select>    

   測(cè)試用例：

Java代碼

@Test    
public void print(){     
        try{     
            List<School> list = schoolDao.getSchoolByName("長(zhǎng)樂(lè)一中%' or '1%' = '1");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

    用p6spy查看最后生成的sql語(yǔ)句：

Sql代碼

sql1：select  * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中%' or '1%' = '1%'        
    
sql2：select  * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中%' or '1%' = '1%'    

 其中：sql1是ibatis放入preparedstatement執(zhí)行的sql，sql2是jdbc執(zhí)行的真正sql,在這個(gè)例子里二者一樣的，因?yàn)樵趍ap里使用的占位符是$name$，ibatis遇到這樣的占位符,就直接拼sql語(yǔ)句了，而不是用在sql中使用占位符再給sql set paramter(用#name#的話就是，但是不能用來(lái)搞模糊查詢)。

在實(shí)際項(xiàng)目中的后果就是：如果在頁(yè)面上有個(gè)輸入框，讓用戶輸入學(xué)校名字，用戶輸入 長(zhǎng)樂(lè)一中%' or '1%' = '1 的字樣，那程序就會(huì)把所有的學(xué)校結(jié)果都列出來(lái)。實(shí)際上可能有一些學(xué)校已經(jīng)被刪除掉了(使用某個(gè)字段標(biāo)記，假刪除)，不想讓用戶再看到或者某些學(xué)校信息當(dāng)前用戶沒(méi)有權(quán)限看到。

 在《ibatis in action》里，通過(guò)iBatis like查詢，例舉了這個(gè)注入漏洞一個(gè)更可怕的后果，刪表。修改測(cè)試用例如下：

Java代碼

@Test        
public void print(){     
        try{     
            List<School> list = schoolDao.getSchoolByName("長(zhǎng)樂(lè)一中';drop table tbl_test;#");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

用p6spy查看最后生成的sql語(yǔ)句：

Sql代碼

select * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中';drop table tbl_test;#%'     
select * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中';drop table tbl_test;#%'   

在mysql中，#是注釋符.復(fù)制以下sql代碼在phpmyadmin中執(zhí)行，tbl_test確實(shí)被刪掉了。但是用ibatis執(zhí)行這句sql卻失敗，debug了下ibatis的源代碼，發(fā)現(xiàn)ibatis是用preparedstatement執(zhí)行查詢的。上面的是兩個(gè)sql語(yǔ)句，但ibatis直接把“select * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中';drop table tbl_test;#%'”這句sql放進(jìn)去執(zhí)行，差不多下面這樣：

Java代碼

String sql = "select * from tbl_school where school_name like '%長(zhǎng)樂(lè)一中';drop table tbl_test;#%'"    
    
PreparedStatement ps = conn.prepareStatement(sql);     
    
ps.execute();    

這樣的執(zhí)行就會(huì)報(bào)錯(cuò)，也就刪除不了tbl_test這張表了。。。奇怪了。。難道《ibatis in action》這書(shū)上講錯(cuò)了？ 以上代碼都是在ibatis2.3.4的環(huán)境下測(cè)試的。沒(méi)試過(guò)以前的版本。。 難道就不能用iBatis like查詢了？或者要在web層或者service層對(duì)用戶的輸入條件作一次過(guò)濾么？太麻煩了。還好ibatis提供的另一種占位符#在用PreparedStatement執(zhí)行查詢的時(shí)候，是用？作占位符，然后set paramter的。。把map里的sql語(yǔ)句改成這樣吧：（參考了網(wǎng)上的sql語(yǔ)句）

Sql代碼

mysql: select * from tbl_school where school_name like concat('%',#name#,'%')     
    
oracle: select * from tbl_school where school_name like '%'||#name#||'%'    
    
SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'  

【編輯推薦】

1. ibatis官方提示文檔中的錯(cuò)誤
2. iBATIS特性之七大方面詳談
3. iBATIS事務(wù)處理淺析
4. 簡(jiǎn)單三步走堵死SQL Server注入漏洞
5. PHP-Nuke存在遠(yuǎn)程SQL注入漏洞 后臺(tái)數(shù)據(jù)庫(kù)堪憂