当前位置：首页 > article >正文

从若依(RuoYi)漏洞看SpringBoot项目常见安全坑：开发中如何避免SQL注入与路径遍历？

article 2026/4/18 3:02:17

从若依漏洞剖析SpringBoot项目安全防御体系SQL注入与路径遍历实战解决方案最近在代码审计中遇到几个典型漏洞案例让我意识到很多开发者对SpringBoot项目的安全防护仍停留在理论层面。以若依(RuoYi)这类流行框架为例其SQL注入和任意文件下载漏洞本质上反映了开发中的共性安全隐患。今天我们就从这两个高频漏洞入手拆解背后的安全逻辑并给出可落地的防御方案。1. SQL注入漏洞深度解析与MyBatis防御实践去年参与某金融系统渗透测试时发现一个与若依类似的漏洞通过orderByColumn参数注入恶意SQL片段。这种漏洞的根源往往在于动态SQL拼接的失控。1.1 MyBatis中的危险操作模式问题常出现在以下场景Select(SELECT * FROM users WHERE id ${id}) User getUserById(Param(id) String id);这里的${}直接拼接参数相当于敞开大门迎接注入攻击。我曾用类似漏洞在测试环境获取过整个用户表数据。安全编码对比表危险写法安全写法防护原理${param}#{param}预编译参数化查询SELECT * FROM tableName动态SQL标签白名单校验拼接ORDER BYOrderBy注解固定排序字段1.2 MyBatis-Plus的安全增强方案新版若依已采用MyBatis-Plus其安全特性值得借鉴// 安全分页示例 PageUser page new Page(1, 10); LambdaQueryWrapperUser wrapper Wrappers.lambdaQuery() .eq(User::getRoleKey, admin) .orderByAsc(User::getCreateTime); userMapper.selectPage(page, wrapper);关键提示即使使用Lambda表达式也要警惕前端传入的排序字段名建议采用枚举限定public enum SafeOrderFields { CREATE_TIME(create_time), USERNAME(username); private final String columnName; // ... }2. 路径遍历漏洞防御体系构建那个任意下载/etc/passwd的漏洞让我印象深刻。问题出在路径拼接时未做规范化处理2.1 安全的文件路径处理规范// 危险写法 String filePath /downloads/ userInput; // 安全方案 Path safePath Paths.get(/downloads/) .resolve(Paths.get(userInput).normalize()) .normalize(); if (!safePath.startsWith(/downloads/)) { throw new IllegalAccessException(路径越界); }防御矩阵输入校验层白名单校验文件扩展名正则过滤../等特殊字符处理层使用Paths.normalize()规范化设置根路径锚点系统层文件服务独立部署最小权限原则设置目录权限2.2 SpringBoot资源处理最佳实践建议采用ResourceHttpRequestHandlerConfiguration public class SafeDownloadConfig implements WebMvcConfigurer { Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler(/safe-download/**) .addResourceLocations(file:/secured-files/) .setUseLastModified(true); } }3. 参数校验防御体系设计很多漏洞本质是参数校验缺失。Spring Validation的进阶用法值得掌握3.1 分层校验策略public class UserDTO { NotBlank(message 角色名不能为空) Pattern(regexp ^[a-zA-Z0-9_]{4,20}$, message 包含非法字符) private String roleKey; SafePath // 自定义校验注解 private String filePath; }自定义校验注解示例Constraint(validatedBy SafePathValidator.class) Retention(RUNTIME) public interface SafePath { String message() default 非法路径格式; Class?[] groups() default {}; Class? extends Payload[] payload() default {}; }3.2 全局异常处理增强RestControllerAdvice public class SecurityExceptionHandler { ExceptionHandler(BindException.class) public ResponseEntityResult handleValidationError(BindException ex) { ListString errors ex.getFieldErrors().stream() .map(f - f.getField() : f.getDefaultMessage()) .collect(Collectors.toList()); return ResponseEntity.badRequest() .body(Result.fail(400, 参数校验失败, errors)); } }4. 纵深防御体系构建单一防护层总有被绕过的风险需要建立多层防御4.1 安全编码检查清单[ ] 所有SQL语句使用参数化查询[ ] 文件操作进行路径规范化校验[ ] 关键操作添加审计日志[ ] 定期依赖库漏洞扫描[ ] 接口权限二次校验4.2 监控与应急方案建议配置以下监控指标# 日志监控规则示例 alert: SQL_Error_Injection_Attempt expr: rate(log_messages{message~.*SQL syntax.*}[5m]) 0 for: 1m labels: severity: critical annotations: summary: Possible SQL injection attempt detected5. 实战中的经验之谈在最近一次系统加固中我们发现即使使用了参数化查询某些复杂查询仍可能存在注入风险。例如MyBatis的if标签配合${}使用时!-- 仍有风险的写法 -- select idfindUsers resultTypeUser SELECT * FROM users where if testorderBy ! null ORDER BY ${orderBy} /if /where /select最终我们采用的解决方案是建立排序字段白名单使用枚举限定可选排序方式在Mapper接口层做二次校验另一个容易忽视的点是日志打印曾经遇到过敏感数据通过异常信息泄露的情况。现在我们会统一处理ControllerAdvice public class GlobalExceptionHandler { ExceptionHandler(Exception.class) public ResponseEntityErrorResponse handleException(Exception ex) { log.error(系统异常, sanitizeException(ex)); return ResponseEntity.status(500) .body(new ErrorResponse(系统繁忙)); } private Exception sanitizeException(Exception raw) { // 移除异常中的敏感信息 return new SanitizedException(raw.getMessage()); } }

从若依(RuoYi)漏洞看SpringBoot项目常见安全坑：开发中如何避免SQL注入与路径遍历？

相关文章：

从若依(RuoYi)漏洞看SpringBoot项目常见安全坑：开发中如何避免SQL注入与路径遍历？

移相全桥变换器原理及优缺点

嵌入式系统事件控制与连续处理架构设计

mysql如何进行全量数据库备份_mysqldump工具的使用技巧

宝塔面板SSH提示连接被拒绝_检查服务器端口开关

别再死记硬背了！用Python实战案例带你搞懂决策树、随机森林到XGBoost的进化史

golang如何实现滑动窗口计数器_golang滑动窗口计数器实现思路

保姆级教程：Windows下ComfyUI环境配置，从驱动到CUDA再到PyTorch版本一条龙搞定

生成式AI应用搜索排名暴跌？5个致命误区正在毁掉你的流量，立即排查！

深度学习之移动端部署（一）--MobileNetV1 轻量化设计解析

从零上手Apache Zeppelin：一站式交互式数据分析平台实战

Matlab 5G NR信道建模实战：CDL信道API参数配置与性能分析

实战指南：基于Pytorch与BiSeNet，从零构建无人机遥感图像语义分割数据集训练流程

WaveTools鸣潮工具箱：终极免费工具让游戏体验全面升级

KMS_VL_ALL_AIO：终极Windows和Office激活解决方案完整指南

基于深度学习的实时手语翻译系统架构设计与实现

WarcraftHelper终极指南：5个简单步骤让魔兽争霸3在现代Windows系统完美运行

Hunyuan-MT-7B开源镜像：Pixel Language Portal与LangChain集成构建翻译Agent

端到端 RAG 实战：用 LangChain 搭建 PDF 问答系统

海报颜色选择指南：选对色彩，让海报更具吸引力

C语言的发展及其版本

国产化迁移笔记：在龙芯/飞腾的银河麒麟V10中，为OpenJDK 8补全Icedtea-netx插件全记录

运放稳定性分析：电阻电容组合对波特图零点极点的影响

从SAD到SGBM：双目立体视觉核心匹配算法演进与实战解析

别再只用Image Asset了！Android Studio图标生成的隐藏技巧与实战避坑

幻境·流金入门必看：DiffSynth-Studio+玄金美学环境搭建详解

ANSYS面载荷施加避坑指南：SFL、SFA、SFE命令的区别与SFFRAN转换时机

Qwen3-32B智能问答系统搭建：基于API的快速开发指南

Matlab 2023b最新版安装指南：从下载到激活的完整流程（附百度网盘资源）

SLAM从未消失，只是在各产业中悄悄完成「位置下沉、角色重组」