10年前，我就用 SQL注入漏洞黑了学校网站 (2)

于是，SQL 注入就这么发生了，显然有了 or 1=1 这个条件，表中所有的记录都符合条件。如果在用户名输入框中输入的是 admin、administrator 等已知的后台管理员账号，那就可以用管理员账号直接登录系统了。

上面就是 SQL 注入的基本原理。

SQL 注入遍地都是的年代

在9、10年前，也就是在我小时候（对，这个词好，小时候）。那时候智能手机才刚刚出来，塞班系统还很贵，根本就买不起。用着功能机，30M的流量能用坚持一个月，聊天只靠 QQ 和 短信，微信才刚要问世，更别提什么 APP 了，根本就没有。那时候，PC Web 才是根正苗红的网络主宰，如果说要在网上干点儿什么的话，那必须要有一个配套的网站才可以。

互联网还没有发展的这么成熟，用的技术也比较原始，绝大多数的网站是用 PHP 写的，还有很多用 ASP 。可能有些同学都不知道 ASP 是什么，它虽然也是微软的，但是却不是 ASP.NET。数据库很多用的是 MySQL ，还有一部分用的是更原始的 Access，可能又触到某些同学的盲区了，这不怪你没见识，只怪你太年轻。

一些小公司啊、学校啊、政府部门网站啊、各种论坛啊等等，各种五花八门的网站。不像现在这样，无论你用 PHP、Java 还是 Python，都有很多成熟的开发框架供你选择，成熟的框架必然会减少漏洞和降低被攻击的风险。但那时候没有这么多框架供选择，就比如很多学校会选择用 ASP + Access 组合的架构来开发自己的学校官网、教务管理系统等，功能上比较简单，但是全靠手工去写，就说 SQL 查询吧，从建立数据库连接到拼接 SQL 语句，再到执行查询处理查询结果，全都要自己实现，并没有什么 ORM 框架、数据库连接池供选择，由此就带来了 SQL 注入的风险。

而且建网站，如果不想开发的话，有很多 CMS 框架，尤其 PHP 的很多，现在依旧使用广泛的有 WordPress，当时国内的有 Discuz、DEDECMS 等一批傻瓜建站的 CMS 系统，由于代码都是开源的，而且 WordPress 还支持插件，所以会有很多相关的漏洞爆出来，尤其在多年以前，有了漏洞，想拿下一个网站真是太容易了，即使漏洞已经公布并有了解决方案，但依然有好多网站不及时修补和升级。现在在 Google 中搜索相关的 SQL注入关键词，有很多相关介绍。

说了这么多，这不都是 PHP 的代码吗？嘘，只是碰巧而已，说明 PHP 市场大呀，毕竟PHP是最好的开发语言。那 Java 中就没有了吗，当然有啊。

MyBatis 中的 SQL注入风险

最近在看一些代码，Spring Boot + MyBatis 的，偶然发现一个模糊查询的方法的 SQL 语句中用到了 like '%${keyword}%'这样的查询条件，这一看就有 SQL 注入漏洞。
大家可能都了解，MyBatis 是可以解决 SQL 注入的问题的。一般我们在使用 MyBatis 的时候都会把 SQL 语句单独的放到 xml 文件中，在 SQL 语句中支持两种格式的参数占位符，一种是 #{parameter}，另一种是 ${parameter}，在这两种参数占位符中，#{parameter}是安全的，不存在SQL注入漏洞，而 ${parameter}是存在 SQL 注入漏洞的。

安全的占位符格式

#{parameter} 这种占位符会在 MySQL中进行预编译，所以你观察到 MyBatis 打印出来的日志是这样的：

select * from `user` where account=? and password=?

其实在框架底层，是 JDBC 中的 PreparedStatement 类在起作用，PreparedStatement 是我们很熟悉的 Statement 的子类，它的对象包含了编译好的SQL语句。这种预编译的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译。

不知道你有没有写过直接用 JDBC 操作数据库的代码，反正大学老师就告诉我们要用占位符去做数据库查询，而不是拼接 SQL 字符串，因为用占位符的方式安全。其实，MyBatis 的预编译模式的底层实现就可以理解为下面这样的。

Connection conn = getConn();//获得连接 String sql = "select * from `user` where account=? and password=?"; //执行sql前会预编译号该条语句 PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, "13001980988"); pstmt.setString(2, "123456"); ResultSet rs=pstmt.executeUpdate(); 不安全的占位符格式

${parameter} 这种格式是不进行预编译的，也就相当于字符串的拼接，存在 SQL注入的问题，如果非要用这种方式，那需要在程序中对参数进行安全性校验。强烈建议在使用 MyBatis 的过程中不要使用 ${parameter}这种格式的占位符，而要使用 #{parameter}这种格式。

来一波SQL注入

我模拟了一个 SQL 注入的场景，很简单，就是一个模糊查询的接口，根据用户输入的关键词查询。

数据库中有两张表，分别为用户表（user）和 新闻表（news）。

用户表：

新闻表：

NewsMapper 类：

public interface NewsMapper { List<News> selectNewsLikeTitle(@Param("keyword") String keyword); }