快捷導(dǎo)航

Mybatis Order by動(dòng)態(tài)參數(shù)防注入方式

更新時(shí)間：2024年04月19日 14:56:24 作者：偷代碼的貓

這篇文章主要介紹了Mybatis Order by動(dòng)態(tài)參數(shù)防注入方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

一、先提及一下Mybatis動(dòng)態(tài)參數(shù)

參數(shù)符號(hào)	編譯	安全	值
#{}	預(yù)編譯	安全	處理后的值，字符類型都帶雙引號(hào)
${}	未預(yù)編譯	不安全，存在SQL注入問題	傳進(jìn)來啥就是啥

二、order by 動(dòng)態(tài)參數(shù)

order by 后面參數(shù)值是表字段或者SQL關(guān)鍵字

所以使用#{} 是無效的，只能使用${}

那么SQL注入問題就來了

三、解決Order by動(dòng)態(tài)參數(shù)注入問題

1、使用正則表達(dá)式規(guī)避

特殊字符 * + - / _ 等等

使用indexOf判斷到了直接返回

有可能會(huì)存在其它情況，不能完全規(guī)避，但是可以逐步排查

2、技巧解決

2.1 先從order by 動(dòng)態(tài)參數(shù)思考

組合情況只有這兩種

order by 字段名 (asc直接略掉得了)
order by 字段名 desc

所以我們只要找到對(duì)應(yīng)集合，判斷我們動(dòng)態(tài)排序條件是否在其中就可以了

2.2 獲取排序條件集合

有些勤勞的小伙伴可能就開始寫了

userOrderSet = ['id','id desc','age','age desc',.......]
scoreOrderSet = ['yuwen','yuwen desc','shuxue','shuxue desc',.......]
.............

要是有n多表n多字段可是要急死人

我們使用注解+映射來獲取

2.3 動(dòng)態(tài)獲取集合

/**
首先改造實(shí)體類，有@Column注解映射，也有使用@JsonProperty，都行，沒有用@Column映射，就加個(gè)@JsonProperty，不影響，我偷懶使用@JsonProperty
**/
@Data
@Builder
@JsonIgnoreProperties(ignoreUnknown = true)
public class ContentEntity {
 
    
    @JsonProperty("id")
    private Long id;//主鍵ID
    @JsonProperty("code")
    private String code;//編碼
    @JsonProperty("content")
    private String content;//內(nèi)容
    @JsonProperty("is_del")
    private Integer isDel;//是否刪除，0未刪除，1已刪除
    @JsonProperty("creator")
    private String creator;//創(chuàng)建人
    @JsonProperty("creator_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date createAt;//創(chuàng)建時(shí)間
    @JsonProperty("updater")
    private String updater;//更新人
    @JsonProperty("updater_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date updateAt;//更新時(shí)間
 
}

/**工具類來了**/
 
public class MybatisDynamicOrderUtils {
 
    private static final String desc = " desc";
    /**
     * 獲取對(duì)象 JsonProperty 值列表 使用Column替換一下
     * @param object
     * @return
     */
    public static Set<String> getParamJsonPropertyValue(Class<?> object){
        try {
            //獲取filed數(shù)組
            Set<String> resultList =  new HashSet<>();
            Field[] fields = object.getDeclaredFields();
            for (Field field:fields){
                //獲取JsonProperty注解
                if(field.getAnnotation(JsonProperty.class)!=null){
                    JsonProperty annotation = field.getAnnotation(JsonProperty.class);
                    if (annotation != null) {
                        //獲取JsonProperty 的值
                        String jsonPropertyValue = annotation.value();
                        resultList.add(jsonPropertyValue);
                    }
                }
            }
            return resultList;
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }
 
    /**
     * 判斷動(dòng)態(tài)order是否是合理
     * @param order
     * @param object
     * @return
     */
    public static Boolean isDynamicOrderValue(String order,Class<?> object){
        //先獲取JsonProperty 注解中的集合
        Set<String> set = getParamJsonPropertyValue(object);
        //屬于直屬字段 直接返回
        if(set.contains(order)){
            return true;
        }
        //多了倒序，先去除倒序字段再判斷
        if(order.lastIndexOf(desc)>0){
            String temp = order.substring(0,order.lastIndexOf(desc));
            if(set.contains(temp)){
                return true;
            }
        }
        return false;
    }
}

//調(diào)用操作一下
 
//檢驗(yàn)動(dòng)態(tài)order是否合理，防止SQL注入
if(!MybatisDynamicOrderUtils.isDynamicOrderValue(sort,ContentEntity.class)){
            log.error("dynamic order is error:{}",sort);
            return null;
}
 
 
 
//mapper.class
 
@Select({"<script>select  * from content order by ${sort}</script>"})
List<ContentEntity> getList(@Param("sort") String sort);