背景介绍

紧接着上一篇xss,sql注入问题也是遇到最多的漏洞了,前端输入一些带有sql关键字的特殊字符,在后端解析拼接的时候,就会有很多安全问题,本文还是以 若依 和 人人为例,梳理下这两套平台的实现

人人

image-20220916195439483

很显然的,我们找到common 里面的 SQLFilter,然后全局搜索 find usage,定位到这里,显然这块是 人人 对于分页查询的封装

image-20220916195528334

初步判断,是在拼接 order 参数的时候

我们已用户分页查询为例,简单看看怎么用的

@Override
public PageUtils queryPage(Map<String, Object> params) {
    String username = (String) params.get("username");
    Long createUserId = (Long) params.get("createUserId");

    IPage<SysUserEntity> page = this.page(
            new Query<SysUserEntity>().getPage(params),
            new QueryWrapper<SysUserEntity>()
                    .like(StringUtils.isNotBlank(username), "username", username)
                    .eq(createUserId != null, "create_user_id", createUserId)
    );

    return new PageUtils(page);
}

//排序字段
//防止SQL注入(因为sidx、order是通过拼接SQL实现排序的,会有SQL注入风险)
String orderField = SQLFilter.sqlInject((String) params.get(Constant.ORDER_FIELD));
String order = (String) params.get(Constant.ORDER);

//前端字段排序
if (StringUtils.isNotEmpty(orderField) && StringUtils.isNotEmpty(order)) {
    if (Constant.ASC.equalsIgnoreCase(order)) {
        return page.addOrder(OrderItem.asc(orderField));
    } else {
        return page.addOrder(OrderItem.desc(orderField));
    }
}

简单来看,存在注入风险的在 orderField,然后这里的 page 是对 mybatisplus 做的扩展,猜测这里 给出的接口的实现就是直接拼接在末尾,所以存在注入的风险

若依

同样的方法,也是通过搜索工具类的 usage 找到

image-20220916201441850

类似的,这里的过滤也是在 order 这个地方,BaseController 里面封装了常见的一些操作,startPage() 分页就是其一,不同的是这里的分页是基于 PageHelper 做的

/**
 * 设置请求分页数据
 */
protected void startPage()
{
    PageDomain pageDomain = TableSupport.buildPageRequest();
    Integer pageNum = pageDomain.getPageNum();
    Integer pageSize = pageDomain.getPageSize();
    if (StringUtils.isNotNull(pageNum) && StringUtils.isNotNull(pageSize))
    {
        String orderBy = SqlUtil.escapeOrderBySql(pageDomain.getOrderBy());
        PageHelper.startPage(pageNum, pageSize, orderBy);
    }
}

我们仍然使用分页查询用户的例子

/**
 * 获取用户列表
 */
@PreAuthorize("@ss.hasPermi('system:user:list')")
@GetMapping("/list")
public TableDataInfo list(SysUser user)
{
    startPage();
    List<SysUser> list = userService.selectUserList(user);
    return getDataTable(list);
}

总结

其实在使用了框架以后,绝大部分 的场景中,都不太可能出现 sql 注入的问题,首先肯定需要避免使用 ${} 直接拼接的,然后快速开发平台的sql注入检查主要发生在对 mybatis 或者 mybatisplus进行order查询扩展的时候的检查

# sql # java # 数据库
Logo
欢迎使用若依开源

快速构建 Web 应用程序

更多推荐

eclipse安装若依框架

1、首先下载maven,下载地址为:http://maven.apache.org/download.cgi,然后选择apache-maven-3.6.0-bin.tar.gz,如下图所示:2、然后新建一个maven目录,如下图所示:3、将下载的maven包解压到该目录中,(注意此时maven的位置,与压缩包的位置相同)如下图所示:4、配置环境变量,新建一个MAVEN_HOME,值为:D:\...

avatar RuoYi 若依

开源框架若依实战Demo学习笔记

若依是个不错的框架,下面是我用他写的一个简单demo,以后会在此基础上进行进一步的开发,下面是整合的过程。我在整合的过程中可谓是一波三折,大家如果不想走弯路,那么这篇文章将对你很有帮助。首先,项目代码地址写列出来,方便大家下载使用,这是整理后的代码https://gitee.com/schjava/heros_separ.git启动项目访问localhost(默认80端口)配置测试用户先创建角色为

avatar RuoYi 若依
cover

docker compose完成简单项目部署

avatar RuoYi 若依