mysql - Hibernate createSQLQuery - 它如何验证 SQL？

Question

我有一些代码可以将用户的搜索词转换为 MySQL 查询:

String sql = String.format("SELECT * FROM my_table WHERE my_column = '%s'", value);
HibernateUtil.getCurrentSession().createSQLQuery(sql);

为了测试我是否受到保护——并且因为我认为以这种方式学习会很有趣——我想尝试对我自己的应用程序进行 SQL 注入(inject)。所以我搜索:

x'; DROP TABLE test;--

这会产生以下查询:

SELECT * FROM my_table WHERE my_column = 'x'; DROP TABLE test;--

但是 Hibernate 抛出 SQLGrammarException。当我通过 phpMyAdmin 运行这段代码时，它正确地删除了测试表。

Hibernate 如何验证我的 SQL？也许更重要的是——这是保护我免受 SQL 注入(inject)攻击还是我应该使用 setParameter。如果它不能保护我，我可以举一个执行注入(inject)的 SQL 示例吗？我认为实际验证会很有趣。

Answer 1

您不会执行多个语句，因为createSQLQuery 只允许一个语句。在这里保护您的不是 Hibernate，而是您的 JDBC 驱动程序和您的数据库 - 因为它不知道如何在单个语句的上下文中处理分隔符 ;。

但是您仍然不能安全地防止 SQL 注入(inject)。在这种情况下，还有很多其他的注入(inject) SQL 的可能性。举个例子:

假设您正在查询中搜索一些用户特定的项目:

 String sql = String.format(
     "SELECT * FROM my_table WHERE userId = %s AND my_column = '%s'", 
     currentUserId, value);

用户现在可以输入:

 x' OR '1' = '1

这将导致 SQL:

 SELECT * FROM my_table WHERE userId = 1234 AND my_column = 'x' OR '1' = '1'

并且由于 AND 具有更高的优先级，他将看到所有 项目 - 甚至是其他用户的项目。

例如，即使您提供的示例也可能很危险

 x' OR (SELECT userName FROM USER) = 'gwg

如果您的数据库包含名为 gwg 的用户，我会告诉我(假设我知道您的数据库布局，我可以通过类似的查询找到它)。