【Java代码审计 | 第三篇】SQL注入之Hibernate、MyBatis

原创 已于 2025-03-18 18:46:49 修改 · 1.3k 阅读 · 19 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#java #sql #hibernate

于 2025-03-07 15:22:48 首次发布

未经许可,不得转载。

文章目录

在这里插入图片描述

在 Java 应用程序中,常见的数据库访问方式包括 JDBC、MyBatis 和 Hibernate。其中,JDBC 的 SQL 注入风险及代码审计方法已在 【Java 代码审计 | 第二篇】SQL 注入之 JDBC 详细介绍过,本文将重点介绍 MyBatis 和 Hibernate 可能存在的安全风险及代码审计方法。

Hibernate

在 Java 开发中,Hibernate 是一种流行的 ORM(对象关系映射) 框架,它将数据库中的表与 Java 类进行映射,简化了数据库操作。通过 Spring 的依赖注入,可以轻松地与 Hibernate 集成,从而提高开发效率并减少 SQL 操作的复杂性。

以下是一个简单的 Hibernate 使用示例:

@Autowired
CategoryDAO categoryDAO; // 依赖注入

@RequestMapping("/hibernate")
public String hibernate(@RequestParam(name = "id") int id) {
    Category category = categoryDAO.getOne(id); // 使用 Hibernate 获取数据
    return category.getName(); // 返回类别名称
}

在这个例子中,CategoryDAO 是通过 依赖注入 获取的一个数据访问对象,它封装了对数据库的操作。通过 getOne(id) 方法,我们可以直接从数据库中查询指定 ID 的 Category 实体,并返回其名称。

Hibernate 默认采用 预编译 SQL 机制来执行查询。当我们使用 Hibernate 的方法时,它会自动处理查询语句并使用预编译的方式与数据库交互,从而避免了 SQL 注入风险。

然而,在某些复杂场景下,我们可能需要使用 手写 SQL。例如,当我们使用 Hibernate 的 @Query 注解或 Session.createSQLQuery() 方法时,涉及动态拼接 SQL 的场景(如 LIKE、ORDER BY、IN 等)时,Hibernate 不再自动生成 SQL 语句。

MyBatis

MyBatis 是一个持久层框架,用于简化 Java 应用程序与数据库之间的交互。它本质上是对 JDBC(Java Database Connectivity)的封装,提供了 SQL 语句的映射功能,使开发者能够更方便地执行数据库操作。

在 MyBatis 中,获取参数值的方式主要有两种:${}#{}

#{}(安全,防止 SQL 注入)

#{} 解析时会转换为 SQL 预编译的占位符 ?,并使用 PreparedStatement 进行参数绑定。由于 MyBatis 通过预编译机制来自动转义参数,因此可以有效防止 SQL 注入

示例:

<select id="getUserById" resultType="User">
    SELECT * FROM users WHERE id = #{id}
</select>

最终执行的 SQL:

SELECT * FROM users WHERE id = ?

${}(不安全,易受 SQL 注入攻击)

${} 直接将参数值拼接到 SQL 语句中,相当于字符串替换,不会使用预编译机制,因此容易受到 SQL 注入攻击

示例:

<select id="getUserById" resultType="User">
    SELECT * FROM users WHERE id = ${id}
</select>

若用户输入 1 OR 1=1,最终执行的 SQL 可能变为:

SELECT * FROM users WHERE id = 1 OR 1=1

这将导致 SQL 注入攻击。

在 MyBatis 中,映射文件(Mapper XML) 的命名规则通常是:

表所对应的实体类的类名 + Mapper.xml

例如,若有一个 User 实体类,则其对应的 MyBatis 映射文件一般命名为:

UserMapper.xml

因此,此处的代码审计方法为:在所有 *Mapper.xml 文件中搜索 ${},查看是否有用户输入的数据直接拼接到 SQL 语句中。

MyBatis 的两种写法

注意:在 Maven 项目 中,mapper.xml 文件必须存放在 resources 目录 下,才能被 MyBatis 正确识别并加载。

MyBatis 主要提供了两种方式来执行 SQL 查询:基于注解的方式基于 XML 配置的方式

1. 基于注解的 MyBatis 写法

@Mapper
public interface CategoryMapper {
    @Select("SELECT * FROM category_ WHERE name= '${name}' ")
    CategoryM getByName(@Param("name") String name);
}

在这种方式下,SQL 语句直接写在 @Select 注解 中,MyBatis 会在运行时解析并执行该 SQL 语句。

2. 基于 XML 配置的 MyBatis 写法

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="cn.seaii.springboot.mapper.CategoryMapper">
    <select id="get" resultType="cn.seaii.springboot.pojo.CategoryM">
        SELECT * FROM category_ WHERE id= ${id}
    </select>
</mapper>

在 XML 方式中,SQL 语句被写入独立的 mapper.xml 文件中,并通过 namespace 关联接口,实现 SQL 的分离管理。

上述代码中的 WHERE name= '${name}'WHERE id= ${id} 直接拼接用户输入,可能导致 SQL 注入漏洞

3. 解决方案

应该使用 #{} 方式 绑定参数,避免 SQL 注入问题。

基于注解

@Mapper
public interface CategoryMapper {
    @Select("SELECT * FROM category_ WHERE name= #{name}")
    CategoryM getByName(@Param("name") String name);
}

基于 XML

<select id="get" resultType="cn.seaii.springboot.pojo.CategoryM">
    SELECT * FROM category_ WHERE id = #{id}
</select>

这样,MyBatis 会自动 将参数作为占位符处理,避免 SQL 注入风险。

4.漏洞案例

让我们看看代码审计SQL注入的全流程。

1、在所有 *Mapper.xml 文件中搜索 ${}

2、如图,UserMapper.xml 中的 namespace 指向了 UserDao.java 接口,UserMapper.xml 里的每个 SQL 标签(如 <select> )的 id 属性值对应 UserDao.java 中的一个方法。并且 SQL 语句存在 nickName 及 userName。

在这里插入图片描述

来到 UserDao.java 界面后,按 “Ctrl + 鼠标右键”,查看哪些代码文件或类引用了UserDao.java中的getFuzzyUserByPage方法:

在这里插入图片描述

如上图所示,UserDao.java里的getFuzzyUserByPage方法被UserServiceImpl.java的第 45 行代码引用,执行语句为List<MyUser> fuzzyUserByPage = userDao.getFuzzyUserByPage(myUser);

跟踪到UserServiceImpl.java的第 45 行代码:

在这里插入图片描述

如上图箭头所示,userService.getAllUsersByPage方法调用时传入了MyUser类型的参数myUser 。

可以推断,MyUser.java定义了与用户相关的数据模型类,包含用户的各种属性,比如用户ID等。

上图给出了调用接口:/api/user

进入MyUser.java,确实存在用户属性:

在这里插入图片描述

因此以上是整个的传参处理流程。

由第一张图可知,${}的参数处理方式存在SQL注入,因此可直接调用接口传参payload。

在这里插入图片描述

代码审计Mybatis框架-怎么判断SQL注入(原理篇)
墨痕诉清风的博客
05-06 300
MyBatis是一个流行的Java数据库框架,它简化了数据库操作,允许开发人员通过映射文件或注解将Java对象与数据库中的数据进行关联。与其他ORM(如 Hibernate)不同,MyBatis不会自动生成SQL,而是允许开发者手动编写SQL语句,因此能够提供更精细的控制。目前大部分JavaWeb的学习和开发都绕不开学习他原理mybatis框架在解析sql语句时,如果sql中存在${}和${}是存在解析顺序先解析 ${}再解析#{
Java代码审计SQL注入漏洞详解
悦分享
01-23 251
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
JAVA代码审计SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
MybatisHibernate:防止SQL注入
persistence勿忘初心
03-25 1273
SQL是如何注入SQL注入是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( idvarchar(20)PRIMARY KEY ,...
hibernate防止sql注入的方法
menger4java的博客
06-22 5981
刚刚进入这家公司,项目组给我分配的是一个新的系统的开发工作。当然,作为技术的沉淀,并不是完全的从无到有的。 在整合了框架以后,是将一些久经考验的基础代码给迁移到新项目中。这一次需要将持久层修改为用hibernate来实现。在编写持久层的时候,我一开始大量采用了字符串拼接的方式来完成对sql语句的编写,而这一点,被我们组里的老人善意指点了出来:“这么写,如果遇到别人恶意注入怎么办”。
hibernate规避SQL注入实例
wuxun1997的专栏
12-17 312
  项目被检测出SQL注入注入url如:http://127.0.0.1:8080/Test/wlf/getServiceInfo.html?province=%25E6%25B5%2599%25E6%25B1%259F50760358&timeType=1   利用常用SQL注入工具可获取数据库详细情况如下所示:   sqlmap命令:   注入漏洞信息:   针对SQL注入漏洞...
DAY117代码审计-javaee开发篇&jdbc拼接&mybatis查询&fibernate模型
m0_74402888的博客
11-16 1452
Maven设置看这篇文章配置本地tomcat配置部署gongjian未说明未使用mybatishibernate追踪变量orderBygetBaseForm().getOrderBy()是否可控,和是否过滤参数追踪到一个私有属性利用链分析触发list方法找到路由地址参数Sql语句测试成功配置sql安装外部库用法导致的sql注入漏洞Sql语句在xml配置文件中查找sortMyNotice查找可控变量baseKey。
java代码审计SQL注入漏洞
goddemon
02-18 1533
开更文章了,开一个关于Java代码审计相关的系列。本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。慢慢写,基于笔者的理解抒写,如有问题,忘斧正。关于这个系列不会可能有些不会写修复方案,也不会写得特别细,这类文章外面太多了。重点是思路和思考。
java代码审计sql注入
糖小喵
04-13 1041
检查点:数据库查询 前言: 在 Java 中,操作SQL的主要有以下几种方式: java.sql.Statement java.sql.PrepareStatement 使用第三方ORM框架 ——MyBatisHibernate 下面我们来分析以上几种执行SQL的方式。 java.sql.Statement java.sql.Stateme...
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。     在获取便利操作的同时,SQL注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);     2.对参数位置进行邦定: Query query=session.createQuery(hql);
hibernate注入的三种方式
06-16
hibernate注入的三种方式
hibernate防止sql注入
longload
04-07 217
hibernate防止sql注入 Hibernate中对动态查询参数绑定提供了丰富的支持,那么什么是查询参数动态绑定呢?其实如果我们熟悉传统JDBC编程的话,我们就不难理解查询参数动态绑定,如下代码传统JDBC的参数绑定: PrepareStatement pre=connection.prepare(“select * from User where user.nam...
【转载】以Java的视角来聊聊SQL注入
weixin_30852419的博客
11-07 143
Java的视角来聊聊SQL注入 原创2017-08-08javatikuJava面试那些事儿 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来越重,在工作中接触Java的机会也越来越多,也是机缘巧合的契机,自己开始走向了偏 Java开发的...
Hibernate一些防止SQL注入的方式
weixin_34249367的博客
03-10 212
  Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入,大家可以一起学习一下。     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“username”,name);     2.对参数位置进行邦定: Query query=sess...
hibernate:关于sql注入问题设计in语法
太阳芽芽
12-10 435
好长时间不写,连文章入口在哪都不知道!!!! 解决sql注入问题,测试in语法的时候,怎么都查不到数据.后来发现我应该用 setParameterList(),而不是setParameter(). String a = "140421197501105174,140421197501105174"; List<Map<String, String>> returnList = new ArrayList<Map<String, String>>()
hibernatesql防止注入的问题
yuke98727的博客
05-03 1877
//对参数拼接sql的时候,//replaceAll("'","''")即可.即把单引号替换成双单引号 public List findDeviceUsers(final String devMac,final String serviceId){ return getHibernateTemplate().execute(new HibernateCallback>() {
java代码审计-SQL注入
s44359487yad的博客
08-01 865
Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和HibernateMybatis: $JDBC连接方式下: +、like、order by。
java解决sql注入
最新发布
11-21
<think> 首先,用户的问题是基于之前的引用内容,查找使用Java解决SQL注入问题的方法。用户引用了几个来源:[^1]、[^2]、[^3]、[^4]、[^5],这些引用提供了关于JavaSQL注入的解决方法。 关键点从引用中提取: - 引用[1]:提到使用PreparedStatement的预编译来防范大部分SQL注入攻击。 - 引用[2]:强调了使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限。 - 引用[3]:展示了使用Statement可能导致SQL注入问题的例子。 - 引用[4]:讨论了使用setter方法(如setShort, setString)来设置IN参数值,确保类型兼容。 - 引用[5]:描述了预编译时如何转义输入,防止注入。 用户的需求是“请问Java解决SQL注入的方法”,所以我需要提供清晰、结构化的回答,使用中文,并遵循系统指令。 系统指令回顾: - 行内数学表达式用$...$,但这里可能不涉及数学。 - 独立公式用$$...$$,但SQL注入不涉及公式。 - LaTeX语法正确:确保代码块正确。 - 使用中文回答。 - 生成相关问题:在回答末尾添加相关问题。 - 引用段落末尾添加引用标识:[^1], [^2], 等。 - 回答结构清晰,帮助用户逐步解决问题,保证真实可靠。 回答结构: 1. **引言**:简要解释SQL注入问题和在Java中的重要性。 2. **主要解决方法**:基于引用,重点介绍PreparedStatement。 - 解释为什么PreparedStatement有效。 - 提供Java代码示例。 3. **其他方法**:提到ORM框架、输入验证等。 4. **总结**:强调最佳实践。 5. **相关问题**:添加2-3个相关问题。 代码示例:从引用中,引用[1]和[5]提到了代码,我需要使用代码块展示。 引用标识:在回答中引用时,在相关段落末尾添加[^1], [^2], 等。 相关问题生成: - 基于主题,如优化、其他安全措施等。 - 例如: 1. 如何验证用户输入以防止SQL注入? 2. ORM框架如何帮助防范SQL注入? 3. 在Java中,除了PreparedStatement,还有哪些安全措施? 确保回答真实可靠:基于提供的引用内容,不要添加外部知识。 完整回答框架: - 开头:介绍SQL注入Java解决方法。 - 主体: - 使用PreparedStatement:详细解释和代码。 - 其他方法:输入验证、ORM、最小权限。 - 结尾:总结。 - 相关问题。 代码示例:使用引用[1]的例子或通用例子。 - 引用[1]有代码:SELECT * FROM `user` where user = ... 和PreparedStatement使用。 - 引用[5]有登录示例。 在回答中自然地添加引用。 </think>基于您提供的引用内容,我将详细解释Java中解决SQL注入问题的核心方法。SQL注入是一种常见的安全漏洞,攻击者通过恶意输入篡改SQL查询语句,从而窃取或破坏数据库数据[^2]。在Java中,主要通过**预编译语句**(如PreparedStatement)来防范SQL注入,因为它能自动转义特殊字符并分离SQL逻辑与用户输入[^1][^5]。以下是结构化的解决方法,逐步说明。 ### 主要解决方法:使用PreparedStatement PreparedStatement是Java JDBC API的核心组件,它通过参数化查询(Parameterized Queries)防止SQL注入。工作原理是将SQL语句预编译后绑定用户输入值,而非直接将输入拼接到语句中,从而避免恶意代码执行[^1][^4]。 #### 步骤说明: 1. **定义SQL模板**:使用问号 `?` 作为占位符,代替直接嵌入变量。 2. **创建PreparedStatement对象**:通过`Connection.prepareStatement()`方法。 3. **设置参数值**:使用`setXxx()`方法(如`setString()`、`setInt()`)为占位符赋值,确保输入值类型与SQL类型兼容,并自动转义特殊字符(如单引号被转义为`\'`)[^4][^5]。 4. **执行查询**:调用`executeQuery()`或`executeUpdate()`方法。 #### Java代码示例: 以下是一个安全登录验证的示例,基于引用[1]和[5]的案例。假设我们有一个用户表`user`,包含`username`和`password`字段。 ```java import java.sql.*; public class UserAuthentication { public boolean authenticate(String username, String password) throws SQLException { // SQL模板使用占位符? String sql = "SELECT * FROM user WHERE username = ? AND password = ?"; try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db", "user", "pass"); PreparedStatement pstmt = conn.prepareStatement(sql)) { // 设置参数值(自动转义输入) pstmt.setString(1, username); // 第一个占位符对应username pstmt.setString(2, password); // 第二个占位符对应password try (ResultSet rs = pstmt.executeQuery()) { return rs.next(); // 如果查询到记录,返回true } } } } ``` #### 为什么有效? - 当输入如`username = "admin' -- "`时,`setString()`方法会将单引号转义为`\'`,使攻击失效(例如,转换为`username = 'admin\' -- '`),从而阻止了注释符`--`篡改查询[^5]。 - 对比不安全的`Statement`方式(如引用[3]所示),直接拼接字符串(`"SELECT * FROM user WHERE username='" + username + "'"`)会导致注入漏洞[^3]。 ### 其他辅助方法 除了PreparedStatement,结合以下措施可增强安全性: - **输入验证与过滤**:在业务层对用户输入进行校验(如使用正则表达式检查用户名是否仅含字母数字),拒绝非法字符[^2]。 - **使用ORM框架**:如HibernateMyBatis,它们自动生成参数化查询,减少手动SQL编写错误[^2]。 - **最小化数据库权限**:应用数据库账户仅授予必要的操作权限(如只读或特定表的访问),限制攻击影响[^2]。 - **错误处理**:避免在错误消息中暴露数据库结构(如表名),防止信息泄露。 ### 总结 在Java中,解决SQL注入最可靠的方法是采用PreparedStatement进行参数化查询,它能有效隔离用户输入和SQL逻辑[^1][^4]。结合输入验证和ORM框架,可构建更健壮的安全防线[^2]。实际开发中,应始终避免使用`Statement`类执行动态SQL,并定期进行安全审计。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值