mybatis sql 如何去注入

        网上搜索了很多关于mybatis sql  注入的 出来的基本都是如何防止sql注入,好奇心驱使下,非常想知道如何注入的,研究一番后终于针对like成功了注入了一次。特别说明本次注入是针对mybaits代码中使用了like的语句

先看以下代码 

数据库中有 账号admin 和 密码aaaaaa这样一个账号

假设这个就是登录代码 (在登录时很大概率不会是这样的代码,这里主要是用来说明like)

正确情况下 即便account就输入一个字母a 你不知道密码  也登录不了 

但是通过SQL注入 只需要输入admin 和 任意一个密码 都能登录,如何做到的呢?

OK  下面进入正题

1、首先我们看下正确情况登录成功时,mybatis的执行语句

mybatis sql 如何去注入_第1张图片

此时输入的是admin + aaaaaa 注意其中的Parameters 只有一个

2、假如我们输入 admin + 123456

此时是登录失败的,返回账号密码错误 

3、假如我们输入admin%25' or account = '  + 123456

mybatis sql 如何去注入_第2张图片

显示登录成功。

为什么呢?

注意这里${account}和#{password}

这里就是利用了mybatis对#进行预编译 但是对$是不进行预编译的  而只是进行sql拼接 所以就造成了sql注入的发生

那如何解决呢  

用 concat('%',#{account}, '%')  代替 '%${account}%'

这样使得还是使用#进行了预编译

所以最后sql这样写 就不会有sql注入了

 

 

 

 

 

你可能感兴趣的:(mybatis sql 如何去注入)