Java代码审计 SQL注入（一）

旧城等待， 2024-03-31 17:41 94阅读 0赞

首先需要了解几种较为常见的SQL执行方式：  
①JDBC

②MyBatis

③Hibernate

### 1、JDBC ###

典型的使用statement对象执行sql命令，通过拼接的方式传入id值，获取到相应的数据信息。如果id值是用户可控并且没有对用户的输入做严格的过滤，那么就会产生注入。

import java.sql.*;
    public class jdbctest {
    	public static void main(String[] args) {
    		String url= "jdbc:mysql://127.0.0.1:3306/test?useSSL=false";
    		String user="root";
    		String password="root";
    		Statement stmt=null;
    		Connection conn=null;
    		try {
    			
    			Class.forName("com.mysql.cj.jdbc.Driver");
    			conn= DriverManager.getConnection(url,user,password);
    			stmt=conn.createStatement();
    			String id="1";
    			String query="select * from user where id="+id;
    			ResultSet rs=stmt.executeQuery(query);
    			while(rs.next()){
    			    System.out.println("编号为："+rs.getString("id")+"姓名为："+rs.getString("username")+"密码为："+rs.getString("passwd"));
    			}
    			rs.close();
    		} catch (SQLException se) {
    			se.printStackTrace();
    		} catch (Exception e) {
    			e.printStackTrace();
    		} finally {
    			try {
    				if (stmt!=null) {
    					stmt.close();;
    				}
    				if (conn!=null) {
    					conn.close();
    				}
    			} catch (Exception e2) {
    				e2.printStackTrace();
    			}
    			System.out.println("Over!");
    		}
    
    	}
    
    }

![6a03b9158c5c40db803d1e1d5747365a.png][]

prepareStatement是Statement的子接口，可以预处理带参数的SQL语句，使用set传入id参数值，具有模板思想，使用？作占位符，对防止SQL注入具有一定的作用。

import java.sql.*;
    public class jdbctest {
    	public static void main(String[] args) {
    		String url= "jdbc:mysql://127.0.0.1:3306/test?useSSL=false";
    		String user="root";
    		String password="root";
    		try {
    			
    			Class.forName("com.mysql.cj.jdbc.Driver");
    			Connection conn= DriverManager.getConnection(url,user,password);
    			String id="1";
    			String query="select * from user where id=?";
    			PreparedStatement stmt=conn.prepareStatement(query);
    			stmt.setString(1, id);
    			ResultSet rs=stmt.executeQuery();
    			while(rs.next()){
    			    System.out.println("编号为："+rs.getString("id")+"姓名为："+rs.getString("username")+"密码为："+rs.getString("passwd"));
    			}
    			rs.close();
    		} catch (SQLException se) {
    			se.printStackTrace();
    		} catch (Exception e) {
    			e.printStackTrace();
    		} 
    			System.out.println("Over!");
    		}
    
    	}

### 2、MyBatis ###

MyBatis是一款Java持久化框架，它支持定制化SQL、存储过程以及高级映射。MyBatis封装了大部分jdbc代码，可以完成参数设置和获取结果集的工作。MyBatis可以使用简单的XML或注解来配置和映射原生信息，将接口和Java的POJO（Plain Ordinary Java Object，普通的Java对象）映射成数据库中的记录。

[MyBatis官方参考文档][MyBatis]

通过xml映射语句

<?xml version="1.0" encoding="UTF-8" ?>
    <!DOCTYPE mapper
      PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
      "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
    <mapper namespace="org.mybatis.example.BlogMapper">
      <select id="selectBlog" resultType="Blog">
        select * from Blog where id = #{id}
      </select>
    </mapper>

通过注解配置语句

package org.mybatis.example;
    public interface BlogMapper {
      @Select("SELECT * FROM blog WHERE id = #{id}")
      Blog selectBlog(int id);
    }

### 3、Hibernate ###

Hibernate是一个开放源代码的对象关系映射框架，它对JDBC进行了非常轻量级的对象封装，它将POJO与数据库表建立映射关系，是一个全自动的orm框架，hibernate可以自动生成SQL语句，自动执行，使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。 Hibernate可以应用在任何使用JDBC的场合，既可以在Java的客户端程序使用，也可以在Servlet/JSP的Web应用中使用，最具革命意义的是，Hibernate可以在应用EJB的JavaEE架构中取代CMP，完成数据持久化的重任。

@Autowired CategoryDAO categoryDAO; 
    
    @RequestMapping("/hibernate")
    public String hibernate(@RequestParam(name = "id") int id) {
      Category category = categoryDAO.getOne(id);
      return category.getName();
    }

[6a03b9158c5c40db803d1e1d5747365a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/022d71ccf973438180dc774eb7f80f02.png
[MyBatis]: https://mybatis.org/mybatis-3/zh/getting-started.html