ibatis[mybatis]的安全加固
对于mapping框架,其实预编译语句已经解决了绝大多数的sql注入。
但是对mapping如果支持动态语句,就和程序拚接一样存在sql注入的可能。所以在ibatis[mybatis]中,安全加固主要针对 $ 符号拚接的动态语句
select * from userinfo where name = {#name} oder by $orderColumn$ $sortMode$
这是一种非常典型的场景,因为可以按多种方式排序,所以orderColumn是动态传入的,同样sortMode也是动态传入的,这样的解释语句时除了
name = {#name} 可以确定为 name = ?这样的预编译语名,不存在sql注入的风险,orderColumn 和sortMode都有可能传入特殊变量构造成危险sql。
因为这两个变量字符串是动态拚接到语句上:
set orderColumn = "name; delete from userinfo;"; 构造成 select * from userinfo where name = ? oder by name;delete from userinfo; xxx
所以在加固时主要针对$进行拦截 。
在ibaties中,因为没有拦截器,主要是hack源码,重新打包,入口在SimpleDynamicSql类的getSql方法,这里我们获取原始的sql后,根据$对sql切分:
String[] tokens = sql.split('$');
我们要保证$xxx$中的变量一定是变量形式传给sql语句而不是和sql直接拚接,有两种方案,一是直接转换成字符串,比如:
DatabaseMetaData md = connection.getMetaData();
quote= md.getIdentifierQuoteString();
newSql.append(quote).append(paramter).(quote);
另一种如果是基础关键字就直接append, 如:
newSql.append("DESC");
这样就构成了:
select * from userinfo where name = ? oder by ‘name’ DESC;而不存在sql注入,把上面两种方法抽象成两种变量:
KEYWORD和METADATA
KEYWORD是只允许牧举的值,在写mapper的sql时必须以这种抽象形式,否则为空(sql出错比sql注入可靠):
select * from userinfo where name = {#name} oder by $orderColumn:METADATA$ $sortMode:KEYWORD$
这样对上面的String[] tokens就非常好处理了:
newSql = new StringBuider();
for(String tk:tokens){
String[] vk = tk.split(":");
if(vk.length == 1) newSql.append(tk).append(" ");
else{
if("METADATA".equals(vk[1])) newSql.append(tk).append(quote).append(pm)..append(quote).append(" ");//pm从ParameterObject中根据vk[0]的名称获取
else if("KEYWORD".equals(vk[1])) newSql.append(vk[0] from KEYWORD)..append(" ");
}
}
return newSql.toString();
对于mybatis,由于拦截器模式的作用,我们不必在源代码上hack了,只要加一个拦截器:
@Intercepts({@Signature(method = "prepare", type = StatementHandler.class, args = {Connection.class})})
public class MyInterceptor implements Interceptor {
public Object intercept(Invocation invocation) throws Throwable {
BoundSql boundSql = xxx;
String sql = boundSql.getSql();
String newSql = xxx; //上面的方案
ReflactHelper.setValueByFieldName(boundSql,”sql”,newSql);
return invocation.proceed();
}
}
在conf中加上这个拦截器: