本文共 1718 字，大约阅读时间需要 5 分钟。

MyBatis SQL 注入漏洞分析与防护

前言

SQL 注入漏洞作为 Web 安全领域的事实性问题，虽然逐渐被人关注，但由于技术的快速发展，新的漏洞层面不断涌现。尤其是在 Java 开发环境中，MyBatis 框架因其灵活性和强大功能而广泛应用，但也带来了 SQL 注入漏洞的隐患。作为新手，如何有效识别和防范这样的问题，是值得深入探讨的主题。本文以 MyBatis 为例，结合实际项目的审计案例，分享一些实用的防护策略。

MyBatis 的 SQL 注入漏洞

1. 模糊查询

MyBatis 的 SQL 语句通常通过 XML 文件定义，支持两种参数占位符：# 和 $。开发者在编写 SQL 语句时，若不仔细处理，容易触发注入漏洞。

不安全示例：

    SELECT * FROM NEWS WHERE ID = #{id}

安全示例：

正确的处理方式是使用 concat 函数包裹参数，避免直接拼接 SQL语句：

    SELECT * FROM NEWS WHERE ID IN (
        SELECT id FROM news WHERE title LIKE '%${title}%'
    )

2. IN Clause 中的参数处理

在 IN 子句中使用多个参数时，直接用 #{ids} 可能导致注入漏洞。正确的做法是通过 IMPL 的 foreach 循环来避免直接拼接多个参数。

不安全示例：

    SELECT * FROM news WHERE id IN (#{ids})

安全示例：

    SELECT * FROM news WHERE id IN (
        
            #{item}
        
    )

3. Order By_clause 中的 SQL注入

在 Order By 子句中使用参数，可能导致注入漏洞。建议在 Java 层面进行参数验证，确保参数来源合法。

不安全示例：

    SELECT content FROM content_table
    ORDER BY title #{orderType}

安全示例：

建议在 Java 层面定义一个字段数组，并进行RNA（逆向名称映射）：

    SELECT content FROM content_table
    ORDER BY title

实战思路

通过以现有 CMS 项目为例，梳理 SQL 注入发现的步骤：

1. 导入项目

下载项目代码，通过 IDE 浏览项目结构，重点关注 DAO 层的 XML 文件。

2. 寻找注入点

在 XML 文件中搜索 # 或 $ 占位符，结合 MyBatis 的简化版(Document stripSql)，识别潜在的 SQL 注入公式。

3. 分析调用链

关注前台参数的来源，通过日志或调试工具追踪参数流转过程，确认后台查询的具体 SQL 语句。

4. 验证漏洞

构造特殊 SQL 语句，测试系统是否存在注入漏洞。例如：

http://localhost:8080/ms-mcms/mcms/search.do?categoryId=1%27)%20%20or+updatexml(1,concat(0x7e,(SELECT+%40%40version),0x7e),1)%23

总结

MyBatis 的 SQL 注入问题主要集中在以下几点：

新手可以从以上三点入手，结合项目实际进行防护。在实际开发中，可以参考以下优化策略：

• XML 文件中少用 # 占位符，尽量使用预编译解析。
• 树理 DAO 层的 SQL 语句，确保参数验证的完整性。
• 关注生成器自动生成的 SQL 语句，特别是 Order By 部分。

通过不断实践和总结，新手们能够逐步掌握 SQL 注入防护的技巧，为项目的安全开发打下坚实基础。