🎯 MyBatis执行SQL的深入分析

✅ MyBatis注入链路结构

[Controller] → [Service] → [DAO] → [Mapper(XML/注解)] → [SQL执行]

📌 注入可能发生在：Mapper 的 SQL 映射中

• 使用 ${}：直接拼接输入参数，存在 SQL 注入风险。
• 使用 #{}：预编译处理参数，安全。

🧪 示例场景：用户查询功能存在SQL注入漏洞

👇 1. Controller 层

@RestController@RequestMapping("/admin")publicclassAdminController{@Autowiredprivate AdminService adminService;@GetMapping("/search")public List<Admin> search(@RequestParam String username){return adminService.searchByUsername(username);    }}

• 用户访问：/admin/search?username=admin
• 参数传入 Service 层

👇 2. Service 层

@ServicepublicclassAdminService{@Autowiredprivate AdminDAO adminDAO;public List<Admin> searchByUsername(String username){return adminDAO.findByUsername(username);    }}

• 调用 DAO，无输入校验

👇 3. DAO 层

@RepositorypublicclassAdminDAO{@Autowiredprivate AdminMapper adminMapper;public List<Admin> findByUsername(String username){return adminMapper.selectByUsername(username);    }}

👇 4. Mapper 接口

publicinterfaceAdminMapper{List<Admin> selectByUsername(@Param("username") String username);}

👇 5. Mapper XML 配置（存在注入风险）

<selectid="selectByUsername"parameterType="String"resultType="Admin">    SELECT * FROM admin WHERE username = '${username}'</select>

🔴 实际SQL：

SELECT * FROMadminWHERE username = 'admin'OR'1'='1'

💥 构造攻击Payload

/admin/search?username=admin' OR '1'='1

可绕过身份验证，查询全部用户。

🔧 安全修复建议

<selectid="selectByUsername"parameterType="String"resultType="Admin">    SELECT * FROM admin WHERE username = #{username}</select>

✅ #{} 使用预编译参数，防止注入。

🔍 审计步骤

1. 🔍 查找输入入口（Controller）
2. 🔗 跟踪参数传递链（Service → DAO → Mapper）
3. 📄 审计 Mapper XML/注解中的 SQL
4. 🧪 构造Payload测试是否可注入

🛡 防御建议汇总

🔚 总结

MyBatis 的 SQL 注入常因 ${} 使用不当或动态SQL拼接导致，从 Controller 到 XML 是一条完整的攻击链。修复建议：

• 全面替换 ${} 为 #{}；
• 动态语句使用白名单控制；
• 对高风险字段进行正则验证；
• 辅以全局过滤器提升防御强度。