ibatis[mybatis]的安全加固

标签：

对于mapping框架，其实预编译语句已经解决了绝大多数的sql注入。

但是对mapping如果支持动态语句，就和程序拚接一样存在sql注入的可能。所以在ibatis［mybatis］中，安全加固主要针对 $ 符号拚接的动态语句

select * from userinfo where name = {#name} oder by $orderColumn$  $sortMode$

这是一种非常典型的场景，因为可以按多种方式排序，所以orderColumn是动态传入的，同样sortMode也是动态传入的，这样的解释语句时除了

name = {#name} 可以确定为 name = ?这样的预编译语名，不存在sql注入的风险，orderColumn  和sortMode都有可能传入特殊变量构造成危险sql。

因为这两个变量字符串是动态拚接到语句上：

set  orderColumn = "name; delete from userinfo;";  构造成  select * from userinfo where name = ? oder by name;delete from userinfo; xxx

所以在加固时主要针对$进行拦截 。

在ibaties中，因为没有拦截器，主要是hack源码，重新打包，入口在SimpleDynamicSql类的getSql方法，这里我们获取原始的sql后，根据$对sql切分:

String[] tokens = sql.split(‘$‘);

我们要保证$xxx$中的变量一定是变量形式传给sql语句而不是和sql直接拚接，那个有两种方案，一时直接转换成字符串，比如：

DatabaseMetaData md = connection.getMetaData();
quote= md.getIdentifierQuoteString();

newSql.append(quote).append(paramter).(quote);

另一种如果是基础关键字就直接append, 如：

newSql.append("DESC");

这样就构成了：

select * from userinfo where name = ? oder by ‘name’ DESC;而不存在sql注入，把上面两种方法抽象成两种变量：

KEYWORD和METADATA

KEYWORD是只允许牧举的值,在写mapper的sql时必须以这种抽象形式，否则为空（sql出错比sql注入可靠）：

select * from userinfo where name = {#name} oder by $orderColumn:METADATA$  $sortMode:KEYWORD$

这样对上面的String[] tokens就非常好处理了：

newSql = new StringBuider();

for(String tk:tokens){

           String[] vk = tk.split(":");

           if(vk.length == 1)    newSql.append(tk).append(" ");

           else{

               if("METADATA".equals(vk[1]))  newSql.append(tk).append(quote).append(pm)..append(quote).append(" ");//pm从ParameterObject中根据vk[0]的名称获取

               else if("KEYWORD".equals(vk[1])) newSql.append(vk[0] from KEYWORD)..append(" ");

           }

}

return newSql.toString();

对于mybatis，由于拦截器模式的作用，我们不必在源代码上hack了，只要加一个拦截器：

@Intercepts({@Signature(method = "prepare", type = StatementHandler.class, args = {Connection.class})})
public class MyInterceptor implements Interceptor {

    public Object intercept(Invocation invocation) throws Throwable {
        BoundSql boundSql = xxx;
        String sql = boundSql.getSql();
        String newSql = xxx; //上面的方案
        ReflactHelper.setValueByFieldName(boundSql,”sql”,newSql);        
        return invocation.proceed();
    }
}

在conf中加上这个拦截器：

<configuration>
   <plugins>
      <plugin interceptor="package.MyInterceptor"></plugin>
   </plugins>
   <environments default="development">
      <environment id="development">
         <transactionManager type="JDBC" />
         <dataSource type="POOLED">
            <property name="driver" value="com.mysql.jdbc.Driver" />
            <property name="url" value="jdbc:mysql://localhost:3306/mysql" />
            <property name="username" value="username" />
            <property name="password" value="password" />
         </dataSource>
      </environment>
   </environments>
   <mappers>
      <mapper resource="mapper.xml" />
   </mappers>
</configuration>

ibatis[mybatis]的安全加固

标签：

原文地址：http://blog.csdn.net/axman/article/details/46873875