2021年,SQL注入死透了么?

安全 黑客攻防
很久很久之前,早在10年前,就有人在喊SQL注入已经死掉了,但时至今日,依然有一大批的SQL注入教程和SQL注入的案例。

本文转载自微信公众号「小姐姐味道」,作者小姐姐养的狗 。转载本文请联系小姐姐味道公众号。  

[[386261]]

很长一段时间,我认为后端开发,在安全性方面最容易出问题的地方就在于SQL注入。通过 where 1=1这种魔幻的SQL写法,就可以很容易的对一个存在问题的系统进行攻击,以至于最终演进出sqlmap这样的神器存在。

后来的fastjson刷新了我的认知,这个框架也算是对互联网安全概念的一种推动。连不懂技术的老板,都知道fastjson快的要命,作为程序员安全理念就得到了一次提升。

为什么对sql注入情有独钟?因为开发人员和SQL打交道的地方太多了。甚至有的专门开发报表的同学,写的SQL行数,比写的代码行数还多!

问题是。很久很久之前,早在10年前,就有人在喊SQL注入已经死掉了,但时至今日,依然有一大批的SQL注入教程和SQL注入的案例。

SQL注入是漏洞之王,这可不是吹的。

当然在这方面,PHP的贡献最大,Java甘拜下风。

SQL注入流行的原因,就是开发人员对自己太自信了,或者使用的工具太原始了,没有经过框架层进行一次过滤。如果你用了Java界的MyBatis或者JPA,发生SQL注入的可能性就变的非常的低。现在PHP也有了类似于thinkphp一样的框架,代表着能搞的SQL注入漏洞已经越来越少了。

但不代表着没有,只是门槛提高了。我们以MyBatis为例,看一下到底还能不能发生SQL注入。

MyBatis依然存在SQL注入

使用Mybatis的同学,第一个接触的概念,就是#和$的区别。这两个符号非常的像Shell中的魔幻符号,但好在只有两种情况。

  • # 代表的是使用sql预编译方式,安全可靠
  • $ 代表着使用的是拼接方式,有SQL注入的风险

比如下面这个xml配置,就是一个绝对安全的写法。因为整个#{id}会被替换成?。

  1. <select id="queryAll"  resultMap="resultMap"> 
  2.   SELECT * FROM order WHERE id = #{id} 
  3. </select> 

但可惜的是,有些场景,并不能使用预编译方式(或者你仅仅是不知道或者懒)。像一些代码重构,把表名/列名/排序等字段,动态传入的时候,不可避免的就需要SQL拼接的方式,SQL注入依然有搞头。

但更容易发生问题的,还是LIKE和IN等类似的语句。

下面是两句Like模糊查询的写法,实际测试会发现,使用#竟然不好使了,会报错,需要使用sql拼接的$。问题由此发生。

  1. SELECT * FROM order WHERE name like '%#{name}%'  //会报语法错 
  2. SELECT * FROM order WHERE name like '%${name}%'  //可以运行 

而正确的写法,应该使用函数拼接。但是工期压死人,在不知不觉间,大多数人就选择了简单的写法。毕竟功能第一嘛,也是体现工作量的最主要方式。

  1. SELECT * FROM order WHERE  name like concat(‘%’,#{name}, ‘%’) //正确的写法 

同样的问题,存在于IN语句。

  1. in (#{tag}) //报错 
  2. in (${tag}) //可以运行 

既然几个字符就可以运行,当然没人选择下面复杂的写法。

  1. tag in 
  2. <foreach collection="tag" item="item" open="("separatosr="," close=")"> 
  3. #{tag}  
  4. </foreach> 

还有order by,也千万不要掉以轻心,一不小心就会万劫不复。

  1. SELECT * FROM order order by createDate #{sortType} //报错 
  2. SELECT * FROM order order by createDate ${sortType} //正常 

这种情况下,就需要把sortType搞成白名单了。不就一个ASC和DESC了,你给我传一个长长的串,是怎么回事?

总结

SQL注入在2021年,依然存在,只不过门槛提高了。现在SQL注入减少,都是框架的功劳,和程序员的水平没半毛关系。sql拼接的情况永远不会消失,因为这是最快捷简单的方式,会让人欲罢不能。无数的外包项目,十几年躺尸不动的系统比比皆是,寄希望于在框架层全部消灭SQL注入,是一个梦想。

因为它的对手,是人性的懒惰。谁也无法战胜它。

 

责任编辑:赵宁宁 来源: 小姐姐味道
相关推荐

2013-09-12 10:11:57

苹果iPhone 5ciPhone 5s

2010-12-20 16:04:30

2021-03-16 22:44:18

Go语言开发

2017-08-10 10:23:59

2010-04-13 14:35:17

2020-10-26 07:04:29

SQL注入mysql

2013-05-02 15:09:22

2015-04-16 09:48:12

APP测试

2011-10-19 10:47:56

2020-12-16 13:22:37

Web安全SQL工具

2010-09-27 11:17:31

2020-09-28 09:30:13

mybatis

2012-04-30 20:40:46

2010-09-14 16:00:16

2010-10-22 15:18:18

SQL注入漏洞

2009-02-12 10:14:16

2016-09-06 13:40:20

2015-08-26 11:12:11

数据溢出SQL注入SQL报错注入

2018-12-11 10:55:00

SQLFuzzWEB安全

2009-02-04 16:11:45

点赞
收藏

51CTO技术栈公众号