解決mybatis-plus動態排序,導致的SQL注入問題

2020-03-23 11:46:49 泡泡糖就是糖

解決mybatis-plus動態排序,導致的SQL注入問題

關於什麼是SQL注入,需要先自行通過搜索引擎瞭解

mybatis-plush提供的動態排序API

setOrderBy() 可以設置一個排序的語句,用於動態的排序

<code>PageHelper.startPage(1, 10).setOrderBy("`id` DESC");

List<fooentity> foos = this.fooMapper.foos();

foos.forEach(System.out::println);
/<fooentity>/<code>
  • SQL日誌SELECT * FROM `foo` order by `id` DESC LIMIT ?
  • 輸出的結果
<code>FooEntity [id=5, name=E]
FooEntity [id=4, name=D]
FooEntity [id=3, name=C]
FooEntity [id=2, name=B]
FooEntity [id=1, name=A]
/<code>

SQL注入問題

動態排序的 order by 語句,並不是預編譯的。而且多是由前端提交參數。可能存在SQL注入的問題

<code>// 惡意構造一條刪除的SQL語句
PageHelper.startPage(1, 10).setOrderBy("`id` DESC; DELETE FROM `foo` WHERE `id` = 1; SELECT 1 FROM `foo`");
List<fooentity> foos = this.fooMapper.foos();
foos.forEach(System.out::println);
/<fooentity>/<code>

SQL日誌

可以看到,執行檢索後,成功的刪除掉了一條記錄

<code>FooMapper.foos         : ==>  Preparing: SELECT * FROM `foo` order by `id` DESC; DELETE FROM `foo` WHERE `id` = 1; SELECT 1 FROM `foo` LIMIT ?  

FooMapper.foos         : ==> Parameters: 10(Integer)
FooMapper.foos         : <==      Total: 5
FooMapper.foos         : <==    Updates: 1
/<code>

解決辦法

通過搜索引擎可以發現很多解決方案。

使用枚舉固定排序的字段

就是把需要的排序策略,寫成枚舉類。根據前端提供的參數,來選擇枚舉。進行排序。這種方法可以避免由客戶端直接提交數據生成SQL。但是缺點就是不夠靈活。當字段更改的試試,需要修改代碼。

<code>enum Order {
\tNAME_ASC("`name` ASC"),
\tID_DESC("`id` DESC")
 \t...
}
/<code>

使用正則過濾

其實排序字段,就是DB表的字段的規則,只能是:英文數字下劃線。非法的SQL運算符號並不符合這個規則,於是可以考慮通過正則來判斷排序字段是否合法。

先假定客戶提交動態排序參數的格式 

<code>@RequestParam(value = "columns", defaultValue = "createDate") String[] columns,
@RequestParam(value = "orders", defaultValue = "desc") String[] orders
/<code>

例如:id升序,name逆序,那麼檢索參數就是: /foo?columns=id,name&orders=asc,desc多個參數,和多個排序策略使用逗號分隔。一一對應。

PageUtils

封裝一個方法,通過排序字段和排序策略,生成排序SQL語句。在方法中完成對字段,排序策略合法性的檢查。

<code>public class PageUtils {
\t
\tstatic final String DEFAULT_ORDER = "ASC";
\t
\tpublic static String order(String[] columns, String[] orders) {

\t\tif (columns == null || columns.length == 0) {
\t\t\treturn "";
\t\t}

\t\tStringBuilder stringBuilder = new StringBuilder();

\t\tfor (int x = 0; x < columns.length; x++) {

\t\t\tString column = columns[x];
\t\t\tString order = null;
\t\t\t
\t\t\tif (orders != null && orders.length > x) {
\t\t\t\torder = orders[x].toUpperCase();
\t\t\t\tif (!(order.equals("ASC") || order.equals("DESC"))) {
\t\t\t\t\tthrow new IllegalArgumentException("非法的排序策略:" + column);
\t\t\t\t}
\t\t\t}else {
\t\t\t\torder = DEFAULT_ORDER;
\t\t\t}

\t\t\t// 判斷列名稱的合法性,防止SQL注入。只能是【字母,數字,下劃線】 

\t\t\tif (!column.matches("[A-Za-z0-9_]+")) {
\t\t\t\tthrow new IllegalArgumentException("非法的排序字段名稱:" + column);
\t\t\t}

\t\t\t// 駝峰轉換為下劃線
\t\t\tcolumn = humpConversionUnderscore(column);
\t\t\t
\t\t\tif (x != 0) {
\t\t\t\tstringBuilder.append(", ");
\t\t\t}
\t\t\tstringBuilder.append("`" + column + "` " + order);
\t\t}
\t\treturn stringBuilder.toString();
\t}

\tpublic static String humpConversionUnderscore(String value) {
\t\tStringBuilder stringBuilder = new StringBuilder();
\t\tchar[] chars = value.toCharArray();
\t\tfor (char charactor : chars) {
\t\t\tif (Character.isUpperCase(charactor)) {
\t\t\t\tstringBuilder.append("_");
\t\t\t\tcharactor = Character.toLowerCase(charactor);
\t\t\t}
\t\t\tstringBuilder.append(charactor);
\t\t}
\t\treturn stringBuilder.toString();
\t}
}
/<code>

演示

<code>String orderSql = PageUtils.order(new String[] {"id", "name"}, new String[] {"ASC", "DESC"});
PageHelper.offsetPage(1, 10).setOrderBy(orderSql);

List<fooentity> foos = this.fooMapper.foos();
foos.forEach(System.out::println);
// SQL語句:String orderSql = PageUtils.order(new String[] {"id", "name"}, new String[] {"ASC", "DESC"});
PageHelper.offsetPage(1, 10).setOrderBy(orderSql);

List<fooentity> foos = this.fooMapper.foos();
foos.forEach(System.out::println);
/<fooentity>/<fooentity>/<code>

客戶端動態排序顯得非常靈活,並且沒有SQL注入的風險。最多也就是客戶端惡意提交排序的字段,在檢索結果集中找不到,導致SQL異常。但是不會導致執行危險的SQL語句。

原文:https://springboot.io/t/topic/905

分享到:

閱讀更多 泡泡糖就是糖 的文章

關鍵字: 下劃線 動態 排序

相關文章:

SQL Server 2012 高級用法(四)

SQL:WHERE 和 HAVING、ON 有什麼區別?

SQL Server 2012 高級用法(二)

configure: error: could not locate SQL headers

如何將Azure SQL 數據庫還原到本地數據庫中

SQL Server 常用近百條SQL語句(收藏版)

五個 SQL 查詢性能測試題,只有 40% 及格率,你敢來挑戰嗎?

SQL 基礎知識- 數據庫與 SQL

SQL Server 2008 R2

sql server自動備份數據庫

SQL SERVER 數據庫置疑 緊急模式修復

sql server 數據庫置疑解決辦法

SQL Server的行轉列和列轉行

SQL Server查詢鎖表語句

02.13 MS sql 顯錯注入和反彈注入,疫情在家要努力學習哦

MS sql 顯錯注入和反彈注入,疫情在家要努力學習哦

一次搞定各種數據庫 SQL 執行計劃

01.09 SQL SERVER數據庫如何備份和還原

SQL Server 樹形遞歸查詢

mybatis-plus/mybatis 自定義 sql 語句、動態 sql

12.27 mybatis-plus/mybatis 自定義 sql 語句、動態 sql

SQL 已死,但 SQL 將永存

12.03 數據庫教程-SQL Server多條件模糊查詢

12.02 Sql Server數據庫安裝,不能再詳細了,不信你看看

SQL

SQL Server 磁盤空間如何擴容?

SQL SERVER數據庫中的嚮導創建數據庫詳細步驟

SQL SERVER數據庫中的update語句基本用法詳解

SQL SERVER數據庫中刪除語句delete的用法

SQL SERVER數據庫中的觸發器詳解

SQL SERVER程序設計 T-SQL基礎

SQL SERVER數據庫中的視圖基礎

11.20 SQL SERVER中的group by 分組查詢和having字句

Sql Server中孤立的SQL用戶查找和刪除

SQL Server性能調優領域的扛鼎之作--SQL Server性能調優實戰

Sql Server數據庫中查看或修改identity(自增列)的值

SQL--每日一解------ count(*),count(1)和count(列名)的區別

SQL--每日一解------DBLink 跨庫查詢

SQL Server 數據庫高級查詢語句

SQL Server 數據庫設計--SELECT高級查詢語句之三

SQL Server 數據庫設計--SELECT語句之二

SQL SERVER佔用CPU過高排查和優化

sql server 2012 集群AlwaysOn實現只讀路由,讀寫分離,很不錯

SQL 已死,但 SQL 將永存!

分享:SQL 注入攻防入門詳解

無需密碼攻擊 SQL Server 的幾種思路

SQL server2008r2 日誌文件收縮

Big SQL vs Spark SQL 100TB:它們如何疊加?

第二章 IoC容器和Bean配置

第二章 IoC容器和Bean配置

bean是一個對象,它是由Spring

運算裡不得不說的python模塊—math

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼(解讀)

SOP是什麼(解讀)

SOP不是單個的,是一個體系,雖然我們可以單獨地定義每一個SOP,但真正從企業管理來看,SOP不可能只是單個的,必然是一個整體和體系,也是企業不可或缺的。

還不知道交換機上如何配置DHCP,趕緊過來圍觀吧,一分鐘包你學會

還不知道交換機上如何配置DHCP,趕緊過來圍觀吧,一分鐘包你學會

隨著終端設備的越來越多,人工干預配置IP地址,不僅工作效率低,而且,還很容易導致IP衝突,影響正常的網絡訪問。到此已經完成了,DHCP服務的配置了,我們可以在終端驗證。

還在手動配置IP地址嗎?太Low了,一分鐘教會您如何配置DHCP

還在手動配置IP地址嗎?太Low了,一分鐘教會您如何配置DHCP

隨著終端設備的越來越多,人工干預配置IP地址,不僅工作效率低,而且,還很容易導致IP衝突,影響正常的網絡訪問。到此已經完成了,DHCP服務的配置了,我們可以在終端驗證。

Python爬蟲自學筆記:分析頭條文章網頁源文件

Python爬蟲自學筆記:分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件,現在將分析的結果分享給大家。首先以一篇文章為例,其網址如下:https://www.toutiao.com/i6822245428176617998/如上圖網頁所示,文章中包含文字和圖片。

DNS偵查工具

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問 這就是DNS域名解析.關於域名域名的層次劃分用點來分割 這時DNS把相對應的域名解析成IP地址 高的在右邊.例如:www. NS簡介訪問某網站的時候 最低在左邊

國人開源的異步 Python ORM:GINO

國人開源的異步 Python ORM:GINO

I

程序測評:Create React App 3.3中有哪些酷炫新功能?

程序測評:Create React App 3.3中有哪些酷炫新功能?

Create

“明學”的魅力?我只要我覺得:駕馭終端,提高生產力

“明學”的魅力?我只要我覺得:駕馭終端,提高生產力

最後一個要介紹的命令是

(必收藏系列)Linux面試題——命令集

(必收藏系列)Linux面試題——命令集

關注,後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程(免費)。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章 內存管理實驗

「正點原子NANO STM32F103開發板資料連載」第29章 內存管理實驗

1)實驗平臺:【正點原子】

小白怎麼學Web前端開發 如何成為技術達人

小白怎麼學Web前端開發 如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作,不僅入行門檻低、而且薪資待遇和發展前景都不錯,自然吸引了大批人加入行業。

如何開發一個web靜態服務器

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多,比如著名的有apache,有nginx,有tomcat,有resin服務器,有sphere,有iis服務器等等,這些服務器都能提供web服務,並且幾乎都能和多種語言進行搭配使用,那麼一個web服務器都需要那些功能,開發一個web服務器都需要那些

學Java編程還有前景嗎 如何才能拿到高薪

學Java編程還有前景嗎 如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤,不過學Java編程還有前景嗎?它架構在操作系統之上,屏蔽了底層的差異,真正實現了“Writeonce run

Python網絡爬蟲之配置篇(一)

Python網絡爬蟲之配置篇(一)

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低?幾行代碼快速提升!

Python的運行效率太低?幾行代碼快速提升!

return的就是是你所需要的結果2.3、運行這一步就是最後一步了,只要像下面一樣輸入上述函數名,賦予參數值,點擊運行Run,就能得到你想要的結果arg1=5

python的優點是什麼?最新Python400集視頻(附教程)

python的優點是什麼?最新Python400集視頻(附教程)

2020,最新Python零基礎到精通資料教材,乾貨分享,新基礎Python教材,穩穩找到過萬工作,看這裡,這裡有你想要的所有資源哦,最強筆記,教你怎麼入門提升!獲取方式:私信小編“

MySQL中OOM故障應如何下手-愛可生

MySQL中OOM故障應如何下手-愛可生

作者:孫祚龍愛可生南區分公司交付服務部成員,實習工程師。負責公司產品問題排查及日常運維工作。本文來源:原創投稿*愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註明來源。

像專家一樣使用 panic

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官:你可以用純CSS判斷鼠標進入的方向嗎?

面試官:你可以用純CSS判斷鼠標進入的方向嗎?

雖然沒什麼軟用,但是對付面試官應該是夠用了。感謝面試官提出的問題,讓我實現了這個功能,對CSS

網絡工程師職業生涯中,哪兩點是最重要的?

網絡工程師職業生涯中,哪兩點是最重要的?

網絡工程師最重要的技能是紮實的基礎和非常開放的思維,微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠,網絡工程師是要實戰的,要避免紙上談兵,我認為對基礎理論的理解,比你清楚配置更重要。

交換機中相關術語代表什麼意思,有必要弄清楚

交換機中相關術語代表什麼意思,有必要弄清楚

1.

由淺入深瞭解以太坊 2.0:最常見問題和最全學習清單

由淺入深瞭解以太坊 2.0:最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點,日後搶頭礦隨時“彎道超車”

吃透這些IPFS硬核知識點,日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎?我們都知道在Filecoin網絡中作為一名存儲礦工,信譽對於我們是非常重要的——信譽越高,爆塊幾率越大。那麼信譽系統現在怎麼樣了呢?

Hive分桶表

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊!

Spring中資源的加載原來是這麼一回事啊!

//

自己動手搭建郵件系統:怎樣讓Exchange Server 發出第一封郵件?

自己動手搭建郵件系統:怎樣讓Exchange Server 發出第一封郵件?

編輯Exchange

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯,我們能下載的文件是一個壓縮包,解壓之後,是.idb和.frm文件,你可能要問了,我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎?

NLP算法入門系列:隱含馬爾可夫鏈(HMM)模型的簡單介紹

NLP算法入門系列:隱含馬爾可夫鏈(HMM)模型的簡單介紹

即,最大化

第一章 Spring Framework概述

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練,本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因,應該是受到平時使用HashMap的影響,HashMap獲取值就是在調用get方法時指定key,設置值也是在put時指定key,所以看到state.value,看懂了這些,其實也是在瞭解DataStream/DataSetAPI的設計思路:

Redis內存分析工具--rdr安裝與使用

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除,拋出異常

一行代碼提升遷移性能

一行代碼提升遷移性能

論文原址:https://arxiv.org/pdf/2003.12237.pdf開源地址:https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息,做可泛化3D形狀分割模型

利用相似幾何信息,做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案:FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch,沒有不嘗試一下的道理

這麼好用的開源計算器SpeedCrunch,沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器,具有快速,鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch,就可以去到

分佈式緩存,真香

分佈式緩存,真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

特徵工程的力量

在本文中,我希望教給您一些有關特徵工程的知識,以及如何使用它來對非線性決策邊界進行建模。為了說明這一點,假設恢復時間與身高和體重具有以下關係:Y=β₀+β₁+β2+β₃+noise從第三項來看,我們可以看到Y與身高和體重沒有線性關係。

java架構:天天寫面向接口編程,你考慮過性能嗎?大神都是這麼寫

java架構:天天寫面向接口編程,你考慮過性能嗎?大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x,JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"

婚前男方擁有個人房產,婚後將這房產賣出用這房產的錢來買房,怎麼算個人財產?

男方出首付,婚後一起還房貸,房產證名字怎麼寫?

女兒離婚,婆家有3套房產,但都是婚前財產,父母應該怎麼樣為女兒爭取利益?

三星低端A40S以及中高端A80值得購買嗎?

如何看待今年高考報考人數超過一千萬人?

97分!利物浦成五大聯賽最高分亞軍,與衛冕冠軍曼城只有“一分之差”,是不是太苦了?

榮耀20值得等待嗎?還是入手榮耀v20?謝謝?

曼聯0-2卡迪夫,博格巴謝場時遭球迷辱罵,其豎大拇指+雙手合十回應,你怎麼評價?

泰迪一定要吃狗糧嗎?

銀行職員將存款500元打成500萬元,儲戶把錢用完了需要擔法律責任嗎?為什麼?

拉布拉多和金毛犬養哪一個比較好?

貝爾本賽季表現並不差,為什麼會遭齊祖徹底放棄?

在取款機裡取到假幣該怎麼辦?

如果有張(J036519610)紙幣,能否認定年號鈔嗎?聽聽大家的看法?

2019版人民幣將要發行,那麼99版和05版現在值得去收藏嗎?

不流通的舊人民幣值多少錢,該如何處理?

第四套人民幣豹子號值錢嗎?

第四套人民幣豹子號值錢嗎?

怎麼分辨902綠幽靈?

EXCEL如何把數值批量轉換成文本?

閬中古城離廣元市多遠?

宜賓:情感糾紛女子背幼子欲跳橋,路過民警救下, 你怎麼看?

Excel中,有哪些激動人心的功能?

Word有什麼技巧是讓你相見恨晚的?

excel中的數據有效性怎麼用?

excel中如何設置excel表格到期後不能使用?

未來5G微基站能否嫁接到路由器上走光纖,解決室內信號弱網速慢的老毛病?

700MHz為何被認為是5G的黃金頻段?

火箭再次被勇士淘汰,他們在休賽期應該做些什麼,通過美記的分析,你認為哪點最重要?

支付寶的芝麻信用分比較高有什麼好處?

吃狗肉和吃其他動物的肉的本質有區別嗎?

深圳市民掃碼即可辦犬證,無證養犬將罰2000, 你怎麼看?

呼南高鐵過境洛陽、襄陽、南陽,那麼南陽真的就會成為高鐵樞紐中心嗎?

鄭州每年人口都在減少嗎?對此你怎麼看?

校園暴力時有發生,有人說對未成年人犯罪分子的縱容就是對受害者的犯罪,如何看待?

日本狂犬病疫苗大部分給狗打,中國狂犬病疫苗大部分給人打,你怎麼看待此事?

安康一小區一天之內八人被狗咬傷, 你怎麼看?

據說日本幾十年前就消滅了狂犬病,這是真的嗎?我們何時能做到?

樓市,股市,比特幣,未來的10年裡,誰會成為下一個黃金10年投資聖地?

掛靠車輛發生交通事故,責任如何承擔?