模糊查询LIKE语句的SQL注入预防

最新推荐文章于 2024-02-18 11:11:05 发布
最新推荐文章于 2024-02-18 11:11:05 发布
阅读量3.5k 收藏
点赞数
分类专栏: Mybatis 文章标签: mybatis
一、在 iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入;
[sql]  view plain  copy
  1.    <select id="INSTITUTIONS-GET-PARAMS" resultMap="INSTITUTIONSDO-MAP" parameterClass="java.util.Map">  
  2. <![CDATA[  
  3. SELECT /*INSTITUTIONS-CLASSIFICATION-GET-ALL-COUNT */   
  4.     i.id,  
  5.     i.institution_name,  
  6.     i.institution_short_name,  
  7.     i.create_time,  
  8.     i.agency_headquarters,  
  9.     i.registration_site,  
  10.     i.website_url,  
  11.     i.brief_introduction,  
  12.     i.logo_url,  
  13.     i.hot   
  14. FROM ins i   
  15. ]]>  
  16. <isNotEmpty property="categoryCode">  
  17.     LEFT JOIN ins_industry ii   
  18.             ON i.id = ii.institutionId  
  19.         LEFT JOIN ind_type it   
  20.             ON it.id = ii.typeId   
  21. </isNotEmpty>  
  22. where 1=1   
  23. <dynamic>  
  24.     <isNotEmpty property="categoryCode"  prepend=" AND ">  
  25.         <![CDATA[  
  26.         it.category_code = #categoryCode#   
  27.         ]]>  
  28.     </isNotEmpty>  
  29.     <isNotEmpty property="institutionName"  prepend=" AND ">  
  30.         i.institution_short_name LIKE '%$institutionName$%'   
  31.     </isNotEmpty>  
  32.     ORDER BY i.hot ASC   
  33.     <isNotEmpty property="start">  
  34.       LIMIT #start#,   
  35.         <isNotEmpty property="size">  
  36.             #size#  
  37.         </isNotEmpty>  
  38.     </isNotEmpty>  
  39. </dynamic>  
  40.  </select>  

    如上SQL语句,如果用户输入: %' AND 2498=2498 AND '%'=',会构成如下SQL,精简后如下,是能正确返回记录的,即存在SQL注入:
[sql]  view plain  copy
  1.         SELECT   
  2.     i.id,  
  3.     i.institution_name,  
  4.     i.institution_short_name,  
  5.     i.create_time,  
  6.     i.agency_headquarters,  
  7.     i.registration_site,  
  8.     i.website_url,  
  9.     i.brief_introduction,  
  10.     i.logo_url,  
  11.     i.hot   
  12. FROM ins i   
  13.     LEFT JOIN ins_industry ii   
  14.             ON i.id = ii.institutionId  
  15.         LEFT JOIN ind_type it   
  16.             ON it.id = ii.typeId   
  17. where 1=1 AND   
  18.         i.institution_short_name LIKE '%%' AND 2498=2498 AND '%'='%'   
  19. ORDER BY i.hot ASC LIMIT 0, 10   


     二、解决办法:
           1、尽量避免采用$的方式,$会导致SQL注入, LIKE '%$institutionName$%' 和  LIKE  concat( '%',$institutionName$,'%') 都会导致SQL注入
           2、尽量采用 #的方式,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号; 更详细的可以查看$和#的区别;
           3、对于例子中的模糊查询, 可以用#结合 concat函数,即修改为 LIKE concat('%',#institutionName#,'%') ;也可以
可以将LIKE '%${Name}%'修改为LIKE '%'||#{Name}||'%'
           4、以上只是编码LIKE语句的SQL注入防范,实际中需要对用户输入进行过滤处理;  
校尉-蓝调
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL SERVER的模糊查询LIKE
01-19
写个动态脚本,需要把数据库里面包含“USER_的表删除掉,突然想不起来如何搜索通配字符了,赶紧查查MSDN,整理了下模糊查询的知识点,留着以后查阅用。   LIKE模糊查询的通配符   搜索通配符字符   在模糊查询中,我们需要查询包含通配符%, _之类的字符,比如我需要查询表名包含user_的表,我们可以用下面两种方法。   SELECT * FROM   sysobjects WHERE xtype = 'U' AND name LIKE '%user/_%' ESCAPE '/'   SELECT * FROM   sysobjects WHERE xtype =
【JOOQ】解决模糊查询sql注入问题
Qing__zi的博客
03-09 530
jooq模糊查询,解决sql注入
SQL实现模糊查询的四种方法总结
最新发布
qq_58626489的博客
02-18 5369
SQL实现模糊查询的四种方法总结
SQL查询语句通配符与ACCESS模糊查询like的解决方法
10-28
我今天在写个页面的时候,也很郁闷,表中明明有记录,但在ASP里就是搜索不到,原来是因为access与SQL的查询语句通配符问题不同所引起的。
mybaits模糊查询防止sql注入
java_zc的博客
10-26 655
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   [sql] view plain copy   select * from t_user where name like co
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 960
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
sql注入(三)绕过方法及防御手段
m0_63306943的博客
05-02 7454
1)如果 waf 过滤了逗号,并且只能盲注,在取子串的几个函数中,有一个替代逗号的方法就是使用 from for ,其中 pos 代表从 pos 个开始读取 len 长度的子串。rlike 模糊匹配,只要字段的值中存在要查找的 部分 就会被选择出来,用来取代 = 时,rlike 的用法和上面的 like 一样,没有通配符效果和 = 一样。因为这些sql命令的执行, 必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,
asp.net request防sql注入_SQL防注入之Mybatis框架漏洞
weixin_39612297的博客
11-28 74
前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。一、MybatisSQL注入Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6293
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
SQL中,有效防止like的SQL注入
白高林的专栏
03-12 5432
SQL中有效防止like的SQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入。 like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
sql注入攻击的原理以及防范措施
V13807970340的博客
03-28 953
主要原因是程序对用户输入数据的合法性没有判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步获取到数据信息。简而言之,SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。
C#使用带like的sql语句时防sql注入的方法
09-04
主要介绍了C#使用带like的sql语句时防sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,防止sql注入,需要的朋友可以参考下
Mybatis中Like 的使用方式以及一些注意点
阿飞云漫步
10-19 9051
做一个积极的人 编码、改bug、提升自己 我有一个乐园,面向编程,春暖花开! 模糊查询在项目中还是经常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题。 使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了。 初始数据 方式一 在Mybatis中的第一种写法: <!--有sq...
Django执行原生sql时, 解决防注入占位符的%与LIKE模糊查询的%歧义导致sql解析失败问题
我爱吃稀饭的博客
03-03 583
Django执行原生sql时, 防注入占位符%与LIKE模糊匹配查询%歧义导致sql解析失败
JAVA 和 MYSQL 进行 LIKE 查询时,前端传入%可以查询到所有数据办法解决。
weixin_43361135的博客
10-16 872
JAVA 和 MYSQL 进行 LIKE 查询时,前端传入%可以查询到所有数据办法解决。 简单粗暴的解决办法,对传入的值进行判断是否存在%,存在把所有的%号进行转义。 String s = "哈哈%"; if(s.contains("%")){ s.replaceAll("%","\\\\%") } ...
SQL注入案例演示与防范措施大全
热门推荐
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
关于sql注入这一篇就够了(适合入门)
qq_53105813的博客
01-07 4661
sql注入详解
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2032
1. 什么是SQL 注入 关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 中最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
mybatis模糊查询防止通配符注入
一只渣渣程序猿
08-23 851
模糊查询一般这么写 <if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''"> AND a.materials_name LIKE CONCAT('%',#{dto.specialSubjectName},'%') </if> 问题: 当用户输入了% _ 等通配符之后,若后端不进行过滤处理的话,传到数据库就是这个样子的。 AND a.materials_name LIKE '%.
模糊查询怎么防止sql注入
03-30
模糊查询可以使用预处理语句来防止 SQL 注入。预处理语句是在执行 SQL 语句之前将查询语句和参数分开的一种技术。这样做可以让 SQL 数据库系统将查询语句和参数分开处理,从而避免 SQL 注入攻击。 例如,使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值