Mybatis動態傳入order by問題

2022-12-29 14:01:44

Mybatis動態傳入order by

當Mybatis的mapper檔案傳入的order by 為動態引數說的時候發現排序無法生效：

像下面這樣，在choose when中的order by後的引數是用預編譯的方式，用的是#號，這樣是可以防止sql注入的問題，但是在傳入order by引數的時候無法解析：

	<select id="feescaleList" resultType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke" parameterType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke">
		SELECT
		A.ID AS id,
		TO_CHAR(A.BESPOKE_DATE,'yyyy-mm-dd') AS bsepokeDate,
		A.USER_ID AS	userId,
		A.BESPOKE_DATE AS	bespokeDate,
		A.BESPOKE_STATUS	bespokeStatus,
		A.PROJECT_ID AS	projectId,
		A.PERIOD_START AS 	periodStart,
		A.PERIOD_END AS	periodEnd,
		A.FEESCALE_MONEY AS feescaleMoney,
		A.FEESCALE_NAME AS feescaleName,
		A.PAYMENT_TIME AS paymentTime,
		A.PAYMENT_MONEY AS paymentMoney,
		B.IDENTITY_CARD AS identityCard,
		B.REALNAME AS realname,
		B.SJ AS sj,
		B.GZZH AS   gzzh,
		B.PHOTOELECTRIC_CARD AS photoelectricCard,
		B.SEX AS sex,
		B.BIRTH_DATE AS  birthDate,
		B.STUDENT_ID AS  studentId,
		B.EXAMINE_NUMBER AS  examineNumber,
		B.DEPARTMENT AS  department,
		B.FACULTY AS  faculty,
		C.MEC_NAME AS mecName
		FROM
		TSINGHUA_ME_BESPOKE A LEFT JOIN TSINGHUA_USERINFO B ON A.USER_ID=B.ID
		LEFT JOIN MEC_ITEM C ON A.PROJECT_ID=C.MEC_NUMBER
		WHERE 1=1
		<if test='bespokeDateGteJ != null and bespokeDateLteJ != null '>
			<if test='bespokeDateLteJ != "" and bespokeDateLteJ != ""'>
				AND A.PAYMENT_TIME <![CDATA[<=]]> to_date(#{bespokeDateLteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
				AND A.PAYMENT_TIME <![CDATA[>=]]> to_date(#{bespokeDateGteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
			</if>
		</if>
		<choose>
			<when test='orderByFiled!=null and orderByFiled!="" and orderBySe!=null and orderBySe!=""'>
				ORDER BY #{orderByFiled}  #{orderBySe}
			</when>
			<otherwise>
				ORDER BY A.PAYMENT_TIME DESC
			</otherwise>
		</choose>
	</select>

最簡單的解決辦法是將#換為$，但是這樣會有sql注入的問題

Mybatis order by動態引數防注入

先提及一下Mybatis動態引數

引數符號	編譯	安全	值
#{}	預編譯	安全	處理後的值，字元型別都帶雙引號
${}	未預編譯	不安全，存在SQL隱碼攻擊問題	傳進來啥就是啥

order by 動態引數

order by 後面引數值是表欄位或者SQL關鍵字

所以使用#{} 是無效的，只能使用${}

那麼SQL隱碼攻擊問題就來了

解決Order by動態引數注入問題

1、使用正規表示式規避

特殊字元 * + - / _ 等等

使用indexOf判斷到了直接返回

有可能會存在其它情況，不能完全規避，但是可以逐步排查

2、技巧解決

2.1 先從order by 動態引數思考

組合情況只有這兩種

order by 欄位名 (asc直接略掉得了)
order by 欄位名 desc

所以我們只要找到對應集合，判斷我們動態排序條件是否在其中就可以了

2.2 獲取排序條件集合

有些勤勞的小夥伴可能就開始寫了

userOrderSet = ['id','id desc','age','age desc',.......]
scoreOrderSet = ['yuwen','yuwen desc','shuxue','shuxue desc',.......]
.............

要是有n多表n多欄位可是要急死人

我們使用註解+對映來獲取

2.3 動態獲取集合

/**
首先改造實體類，有@Column註解對映，也有使用@JsonProperty，都行，沒有用@Column對映，就加個@JsonProperty，不影響，我偷懶使用@JsonProperty
**/
@Data
@Builder
@JsonIgnoreProperties(ignoreUnknown = true)
public class ContentEntity {
 
    
    @JsonProperty("id")
    private Long id;//主鍵ID
    @JsonProperty("code")
    private String code;//編碼
    @JsonProperty("content")
    private String content;//內容
    @JsonProperty("is_del")
    private Integer isDel;//是否刪除，0未刪除，1已刪除
    @JsonProperty("creator")
    private String creator;//建立人
    @JsonProperty("creator_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date createAt;//建立時間
    @JsonProperty("updater")
    private String updater;//更新人
    @JsonProperty("updater_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date updateAt;//更新時間
 
}

/**工具類來了**/
 
public class MybatisDynamicOrderUtils {
 
    private static final String desc = " desc";
    /**
     * 獲取物件 JsonProperty 值列表 使用Column替換一下
     * @param object
     * @return
     */
    public static Set<String> getParamJsonPropertyValue(Class<?> object){
        try {
            //獲取filed陣列
            Set<String> resultList =  new HashSet<>();
            Field[] fields = object.getDeclaredFields();
            for (Field field:fields){
                //獲取JsonProperty註解
                if(field.getAnnotation(JsonProperty.class)!=null){
                    JsonProperty annotation = field.getAnnotation(JsonProperty.class);
                    if (annotation != null) {
                        //獲取JsonProperty 的值
                        String jsonPropertyValue = annotation.value();
                        resultList.add(jsonPropertyValue);
                    }
                }
            }
            return resultList;
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }
 
    /**
     * 判斷動態order是否是合理
     * @param order
     * @param object
     * @return
     */
    public static Boolean isDynamicOrderValue(String order,Class<?> object){
        //先獲取JsonProperty 註解中的集合
        Set<String> set = getParamJsonPropertyValue(object);
        //屬於直屬欄位 直接返回
        if(set.contains(order)){
            return true;
        }
        //多了倒序，先去除倒序欄位再判斷
        if(order.lastIndexOf(desc)>0){
            String temp = order.substring(0,order.lastIndexOf(desc));
            if(set.contains(temp)){
                return true;
            }
        }
        return false;
    }
}

//呼叫操作一下
 
//檢驗動態order是否合理，防止SQL隱碼攻擊
if(!MybatisDynamicOrderUtils.isDynamicOrderValue(sort,ContentEntity.class)){
            log.error("dynamic order is error:{}",sort);
            return null;
}
 
 
 
//mapper.class
 
@Select({"<script>select  * from content order by ${sort}</script>"})
List<ContentEntity> getList(@Param("sort") String sort);

總結

以上為個人經驗，希望能給大家一個參考，也希望大家多多支援it145.com。