Java 常用框架 SQL 注入审计指南

在 Java 开发中，SQL 注入是一种常见且危害巨大的安全漏洞。本文将针对 Java 常用的几种框架，深入分析 SQL 注入的产生原因、常见漏洞场景及安全解决方案，为开发者和安全审计人员提供参考。

一、SQL 注入存在条件

Java 作为强类型语言，SQL 注入风险的存在具有特定条件：仅当String 类型变量参与 SQL 语句构建时，才可能存在注入风险。若参数被强制限定为integer等非字符串类型，当传入非对应类型的值时，会触发类型错误，从而不会产生 SQL 注入。

二、JDBC 框架 SQL 注入分析

（一）危险用法：Statement

• 原理：通过字符串拼接的方式构造 SQL 语句，没有预编译机制。当用户可控的输入未经过滤直接拼接到 SQL 语句中时，攻击者可以篡改 SQL 逻辑，实现注入攻击。
• 示例代码：

<code class="language-java">// Web接口场景
@RequestMapping(&quot;/jdbc/vuln&quot;)
public String jdbc_sqli_vul(@RequestParam(&quot;username&quot;) String username) {
    String sql = &quot;select * from users where username = &#039;&quot; + username + &quot;&#039;&quot;;
    Statement statement = con.createStatement();
    ResultSet rs = statement.executeQuery(sql);
    return &quot;查询结果&quot;;
}</code>

• 漏洞验证：当输入joychou' or '1'='1时，生成的 SQL 语句为select * from users where username = 'joychou' or '1'='1'，该语句会返回全部用户数据，造成信息泄露。

（二）安全用法：PreparedStatement

• 原理：采用预编译机制，使用?作为占位符，通过setXxx()方法绑定参数。这种方式会将用户输入作为数据处理，而不是 SQL 语句的一部分，因此无法改变 SQL 结构，能有效防止注入。
• 示例代码：

<code class="language-java">String sql = &quot;select * from users where username = ?&quot;;
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, username);
ResultSet rs = st.executeQuery();</code>

• 优势：不仅能防止 SQL 注入，还能减少 SQL 语句的重复编译，提升系统性能。

（三）高频漏洞场景

漏洞场景	危险代码示例	安全解决方案
未用占位符	sql = "select * from users where id=?" + " and username like '%" + username1 + "%'";	全量使用占位符，如sql = "select * from users where id=? and username like ?";，然后绑定参数
in语句拼接	String sql = "delete from users where id in(" + delIds + ")";	遍历生成占位符或使用foreach循环绑定参数
like语句拼接	String sql = "select * from users where password like '%" + con + "%'";	使用数据库函数拼接，如 MySQL 的like concat('%', #{param}, '%')
order by无预编译	String sql = "select * from news where title =?" + "order by '" + time + "' asc";	用字段列数预编译或严格过滤字段名白名单
未过滤通配符	用户输入含%导致like '%a%'全匹配	手动过滤%和_通配符

三、MyBatis 框架 SQL 注入分析

（一）核心风险点：#{} 与 ${}

特性	#{ }（安全）	${ }（危险）
处理方式	转换为预编译?，进行参数绑定	直接进行字符串拼接，没有预编译过程
防注入能力	支持	不支持
适用场景	普通参数（如where id=#{id}）	必须进行拼接的场景（如order by ${column}，此时需要额外过滤）

（二）高频漏洞场景

1. 模糊查询

• 危险用法：由于like '%#{param}%'存在语法错误，很多开发者会改用${ }进行拼接，从而引入风险：

<code class="language-xml">&lt;select id=&quot;findByUserNameVuln&quot; resultType=&quot;User&quot;&gt;
    select * from users where username like &#039;%${_parameter}%&#039;
&lt;/select&gt;</code>

• 安全用法：使用数据库函数实现预编译，避免直接拼接：

<code class="language-xml">&lt;select id=&quot;findByUserNameSec&quot; resultType=&quot;User&quot;&gt;
    select * from users where username like concat(&#039;%&#039;, #{_parameter}, &#039;%&#039;)
&lt;/select&gt;</code>

2. in多值查询

• 危险用法：直接用${ }拼接in语句，会导致注入风险：

<code class="language-xml">&lt;select id=&quot;findByUserNameVuln04&quot; resultType=&quot;User&quot;&gt;
    select * from users where id in (${id})
&lt;/select&gt;</code>

• 安全用法：使用foreach循环生成占位符，实现参数绑定：

<code class="language-xml">&lt;select id=&quot;selectBookByIds&quot; parameterType=&quot;list&quot; resultType=&quot;Book&quot;&gt;
    SELECT * FROM Book WHERE id IN
    &lt;foreach collection=&quot;list&quot; item=&quot;id&quot; open=&quot;(&quot; separator=&quot;,&quot; close=&quot;)&quot;&gt;
        #{id}
    &lt;/foreach&gt;
&lt;/select&gt;</code>

3. order by排序

• 危险用法：因为#{ }会给字段加引号，导致排序失效，所以错误地使用${ }进行拼接：

<code class="language-xml">&lt;select id=&quot;getUsersBySort&quot; resultType=&quot;User&quot;&gt;
    SELECT * FROM users ORDER BY ${sortColumn}
&lt;/select&gt;</code>

• 安全用法：可以采用字段列数预编译的方式，或者严格过滤字段名，只允许白名单中的字段参与排序。

（三）实战审计案例

以某医院管理系统（Spring Boot + MyBatis）为例：

1. 审计入口：在 Mapper 文件中搜索${关键字，定位可能存在风险的代码位置。
2. 漏洞代码：发现存在SELECT distinct ${column} FROM users这样的代码，其中column由路由参数传入，攻击者可以控制该参数。
3. 验证 Payload：通过访问http://xxx/option/users/(select%20database())，成功获取到数据库名，证实了 SQL 注入漏洞的存在。

四、MyBatis-Plus 框架 SQL 注入分析

（一）安全机制

QueryWrapper/UpdateWrapper的基础方法（如eq、like、in等）会自动进行预编译处理，有效防止 SQL 注入：

<code class="language-java">@RequestMapping(&quot;/like&quot;)
public List&lt;Tutorial&gt; mybatislike(String author) {
    QueryWrapper&lt;Tutorial&gt; wrapper = new QueryWrapper&lt;&gt;();
    wrapper.like(&quot;author&quot;, author); 
    return tutorialMapper.selectList(wrapper);
}</code>

（二）高频漏洞场景

危险方法	漏洞代码示例	安全解决方案
apply()直接拼接	wrapper.apply("title=" + title);	使用{index}占位符绑定参数
last()拼接尾部	wrapper.last("order by " + column);	过滤排序字段白名单
exists()/notExists()	wrapper.exists("select title from t where title = " + title);	使用占位符绑定参数
having()拼接条件	wrapper.having("id > " + id);	使用{index}占位符
orderBy()/groupBy()	wrapper.orderByAsc(column);	过滤字段名白名单
分页插件addOrder()	personPage.addOrder(OrderItem.asc(order));	过滤order参数

（三）自定义 SQL 风险

在使用#{ew.customSqlSegment}时，如果Wrapper中包含未进行预编译的方法（如last、orderBy等），可能会引发 SQL 注入漏洞。

五、Hibernate/JPA 框架 SQL 注入分析

（一）危险用法

• HQL 注入示例：

<code class="language-java">String userInput = &quot;2 or 1=1&quot;;
String hql = &quot;from Book where id = &quot; + userInput;
Query&lt;Book&gt; query = session.createQuery(hql, Book.class);
Book book = query.uniqueResult();</code>

• 原生 SQL 注入示例：

<code class="language-java">String sql = &quot;select * from user where username = &#039;&quot; + username + &quot;&#039;&quot;;
Query&lt;People&gt; query = session.createNativeQuery(sql);</code>

（二）安全用法

安全方式	示例代码	适用场景
命名参数绑定	String hql = "from users where name = :name"; query.setParameter("name", parameter);	复杂查询
位置参数绑定	String hql = "from users where name = ?1"; query.setParameter(1, parameter);	简单查询
命名参数列表	query.setParameter("names", Arrays.asList("g1ts", "g2ts"));	in多值查询
Criteria API	CriteriaQuery<Book> cq = cb.createQuery(Book.class); cq.where(cb.equal(root.get("id"), bookId));	动态多条件查询
session.get()	Book book = session.get(Book.class, bookId);	主键查询

（三）HQL 注入限制

HQL 注入相比原生 SQL 注入，存在一些限制：

• 不支持UNION SELECT语句；
• 无法访问系统表；
• 需要知晓实体类的字段名才能进行有效的注入；
• 不支持--注释，部分情况下支持/* comment */注释。

通过了解以上各框架中 SQL 注入的风险点和安全用法，开发者可以在实际开发中采取相应的防范措施，有效降低 SQL 注入漏洞的发生概率，提高系统的安全性。