Java安全编码之SQL注入

随着互联网的发展，Java语言在金融服务业、电子商务、大数据技术等方面的应用极其广泛。Java安全编码规范早已成为SDL中不可或缺的一部分。本文以Java项目广泛采用的两个框架Hibernate和MyBatis 为例来介绍，如何在编码过程中避免SQL注入的几种编码方法，包括对预编译的深度解析，以及对预编译理解的几个“误区”进行了解释。

备注，本文是Java语言安全编码会是系列文章的第一篇。

1. 框架介绍

目前Hibernate和MyBatis为java项目广泛采用的两个框架。由于Hibernate使用方便，以前的项目采用Hibernate非常的广泛，但是后面由于Hibernate的侵入式特性，后面慢慢被MyBatis所取代 。下面我们会以SpringBoot为基础，分别搭建Hibernate和MyBatis的漏洞环境。

2. 配置说明

SpringBoot采用2.3.1.RELEASE，MySQL版本为5.7.20。数据库有一张表user_tbl。数据如下：

3. Hibernate

Hibernate 是一个开放源代码的对象关系映射框架，它对 JDBC 进行了非常轻量级的对象封装，是一个全自动的 ORM 框架。Hibernate 自动生成 SQL 语句，自动执行。

(1) 环境搭建

结构如下，ctl为控制层，service为服务层，dao为持久层。为了方便没有按照标准的接口实现，我们只关注漏洞的部分。

Beans下User.java对用为user_tbl表结构。

我们使用/inject 接口,p为接受外部的参数，来查询User的列表，使用fastjson来格化式输出。

我们回到dao层。

1)SQL注入

SQL注入我们使用字符串拼接方式：

访问http://localhost:8080/inject?p=m 直接用SQLMap跑一下：

很容易就注入出数据来了。

2)HQL注入

HQL(Hibernate Query Language)是Hibernate专门用于查询数据的语句，有别于SQL，HQL 更接近于面向对象的思维方式。表名就是对应我们上面的entity配置的。HQL注入利用比SQL注入利用难度大，比如一般程序员不会对系统表进行映射，那么通过系统表获取属性的几乎不可能的，同时由于HQL对于复杂的语句支持比较差，对攻击者来说需要花费更多时间去构造可用的payload，更多详细的语法可以