看《ibatis in action》，里面提到了使用iBatis like查詢的時候，會有注入漏洞。舉例說明如下：

Xml代碼

<select id="getSchoolByName" resultMap="result">    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
</select>    

Java代碼

<select id="getSchoolByName" resultMap="result">    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
</select>    

   測試用例：

Java代碼

@Test    
public void print(){     
        try{     
            List<School> list = schoolDao.getSchoolByName("長樂一中%' or '1%' = '1");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

    用p6spy查看最后生成的sql語句：

Sql代碼

sql1：select  * from tbl_school where school_name like '%長樂一中%' or '1%' = '1%'        
    
sql2：select  * from tbl_school where school_name like '%長樂一中%' or '1%' = '1%'    

 其中：sql1是ibatis放入preparedstatement執(zhí)行的sql，sql2是jdbc執(zhí)行的真正sql,在這個例子里二者一樣的，因為在map里使用的占位符是$name$，ibatis遇到這樣的占位符,就直接拼sql語句了，而不是用在sql中使用占位符再給sql set paramter(用#name#的話就是，但是不能用來搞模糊查詢)。

在實際項目中的后果就是：如果在頁面上有個輸入框，讓用戶輸入學(xué)校名字，用戶輸入 長樂一中%' or '1%' = '1 的字樣，那程序就會把所有的學(xué)校結(jié)果都列出來。實際上可能有一些學(xué)校已經(jīng)被刪除掉了(使用某個字段標(biāo)記，假刪除)，不想讓用戶再看到或者某些學(xué)校信息當(dāng)前用戶沒有權(quán)限看到。

 在《ibatis in action》里，通過iBatis like查詢，例舉了這個注入漏洞一個更可怕的后果，刪表。修改測試用例如下：

Java代碼

@Test        
public void print(){     
        try{     
            List<School> list = schoolDao.getSchoolByName("長樂一中';drop table tbl_test;#");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

用p6spy查看最后生成的sql語句：

Sql代碼

select * from tbl_school where school_name like '%長樂一中';drop table tbl_test;#%'     
select * from tbl_school where school_name like '%長樂一中';drop table tbl_test;#%'   

在mysql中，#是注釋符.復(fù)制以下sql代碼在phpmyadmin中執(zhí)行，tbl_test確實被刪掉了。但是用ibatis執(zhí)行這句sql卻失敗，debug了下ibatis的源代碼，發(fā)現(xiàn)ibatis是用preparedstatement執(zhí)行查詢的。上面的是兩個sql語句，但ibatis直接把“select * from tbl_school where school_name like '%長樂一中';drop table tbl_test;#%'”這句sql放進(jìn)去執(zhí)行，差不多下面這樣：

Java代碼

String sql = "select * from tbl_school where school_name like '%長樂一中';drop table tbl_test;#%'"    
    
PreparedStatement ps = conn.prepareStatement(sql);     
    
ps.execute();    

這樣的執(zhí)行就會報錯，也就刪除不了tbl_test這張表了。。。奇怪了。。難道《ibatis in action》這書上講錯了？ 以上代碼都是在ibatis2.3.4的環(huán)境下測試的。沒試過以前的版本。。 難道就不能用iBatis like查詢了？或者要在web層或者service層對用戶的輸入條件作一次過濾么？太麻煩了。還好ibatis提供的另一種占位符#在用PreparedStatement執(zhí)行查詢的時候，是用？作占位符，然后set paramter的。。把map里的sql語句改成這樣吧：（參考了網(wǎng)上的sql語句）

Sql代碼

mysql: select * from tbl_school where school_name like concat('%',#name#,'%')     
    
oracle: select * from tbl_school where school_name like '%'||#name#||'%'    
    
SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'  

【編輯推薦】

1. ibatis官方提示文檔中的錯誤
2. iBATIS特性之七大方面詳談
3. iBATIS事務(wù)處理淺析
4. 簡單三步走堵死SQL Server注入漏洞
5. PHP-Nuke存在遠(yuǎn)程SQL注入漏洞 后臺數(shù)據(jù)庫堪憂