如何使用sonar实现自定义规矩,检查Java项目中的mybatis框架是否存在sql注入风险
बनाया गया: 17 दिसंबर 2024
प्रश्न
如何使用sonar实现自定义规矩,检查Java项目中的mybatis框架是否存在sql注入风险
विचार
उत्तर
要在Sonar中为Java项目编写自定义规则,以检测基于MyBatis的SQL注入风险,通常需要以下步骤和思路:
总体思路
-
了解SonarQube自定义规则机制:
SonarQube支持通过自定义插件(Plugin)或扩展规则(Rule)来对源代码进行扫描与检查。官方推荐的方式是使用SonarQube为Java提供的Rules API(基于SonarJava插件的扩展点)编写自定义检查器。 -
明确要检测的SQL注入风险场景:
在MyBatis中最常见的SQL注入风险通常有以下几类:- 使用
${}占位符而不是#{}(#{}是预编译参数,可防止SQL注入,而${}相当于直接文本拼接,存在风险)。 - 在Mapper接口的
@Select、@Update、@Delete、@Insert注解中拼接动态SQL字符串,而非使用参数绑定。 - 在XML Mapper文件中使用
<if>、<choose>等标签直接拼接用户输入的内容到SQL中,而不是通过参数映射。
因此,你需要事先定义什么样的模式才算SQL注入隐患,并将这些条件转换为代码检测逻辑。
- 使用
-
技术路径:
自定义规则通常通过实现SonarQube为Java提供的Check类来进行AST分析。你可以使用SonarJava插件提供的JavaCheck API进行Java源码的静态分析,如果MyBatis的SQL是写在注解中或Java字符串中,你可以通过AST访问器检测字符串拼接和注解内SQL内容。对于MyBatis的XML配置文件(Mapper文件),则需要定制XML分析逻辑。这可能需要:
- 使用SonarQube的多语言分析扩展点(如编写一个Sensor)来扫描XML文件内容,从中检测特定的pattern(如
${的使用)。 - 或者借用已有的SonarQube XML插件扩展,编写自定义XML规则(编写一个自定义的XML check)。
- 使用SonarQube的多语言分析扩展点(如编写一个Sensor)来扫描XML文件内容,从中检测特定的pattern(如
实现步骤详解
-
搭建开发环境:
- 准备JDK和Maven环境。
- 下载SonarQube和SonarJava插件,以及相应的SonarQube Java API文档。
- 创建一个Maven工程,用于编写SonarQube插件。
-
添加SonarQube依赖和插件骨架:
官方文档(SonarQube官网文档)中有描述如何创建一个自定义规则插件的Skeleton项目。
你可以使用类似下述`