如何防止sql恶意注入

最新推荐文章于 2024-01-03 14:30:57 发布
最新推荐文章于 2024-01-03 14:30:57 发布
阅读量4k 收藏 4
点赞数 1
文章标签: mybatis sql hibernate Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhang_123xiao/article/details/59105721
版权
一、什么是sql的恶意注入?
SQL注入 ,是一种常见的攻击方式。 攻击者 在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵 参数检验不足 的应用程序。
二、mybatis防止sql注入
MyBatis 框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止 SQL注入 。其实,MyBatis的SQL是一个具有“ 输入+输出 ”的功能,类似于函数的结构,如下:
 
<select id=" getBlogById " resultType=" Blog " parameterType=” int ”>
         SELECT id,title,author,content
         FROM blog
WHERE id=#{id}
</select>
 
这里,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中黄色高亮即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:
SELECT id,title,author,content FROM blog WHERE id = ?
不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。
【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译。
话说回来,是否我们使用MyBatis就一定可以防止SQL注入呢?当然不是,请看下面的代码:
<select id=" getBlogById " resultType=" Blog " parameterType=” int ”>
         SELECT id,title,author,content
         FROM blog
WHERE id=${id}
</select>
仔细观察, 内联参数 的格式由“ # {xxx}”变为了“ $ {xxx}”。如果我们给参数“ id ”赋值为“ 3 ”,将SQL打印出来是这样的:
SELECT id,title,author,content FROM blog WHERE id = 3
(上面的对比示例是我自己添加的,为了与前面的示例形成鲜明的对比。)
<select id=" orderBlog " resultType=" Blog " parameterType=” map ”>
         SELECT id,title,author,content
         FROM blog
ORDER BY ${orderParam}
</select>
仔细观察, 内联参数 的格式由“ # {xxx}”变为了“ $ {xxx}”。如果我们给参数“ orderParam ”赋值为“ id ”,将SQL打印出来是这样的:
SELECT id,title,author,content FROM blog ORDER BY id
显然,这样是 无法阻止SQL注入 的。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击 。但涉及到动态表名和列名时,只能使用“ $ {xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。
【结论】在编写MyBatis的映射语句时,尽量采用“ # {xxx}”这样的格式。若不得不使用“ $ {xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。
 
#{}:相当于JDBC中的PreparedStatement
${}:是输出变量的值
简单说, # {}是经过 预编译的 ,是 安全的 $ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。
三、Hibernate防止sql注入
  Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。
    在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:
    1.对参数名称进行绑定:
Query query =session.createQuery(hql); query .setString(“name”,name);
    2.对参数位置进行邦定:
Query query =session.createQuery(hql); query .setString( 0 ,name1); query .setString( 1 ,name2);...
    3.setParameter()方法:
Query query =session.createQuery(hql); query .setParameter(“name”,name,Hibernate.STRING);
    4.setProperties()方法:
Entity entity=new Entity ();entity.setXx(“xx”);entity.setYy( 100 ); Query query=session.createQuery(“from Entity c where c .xx=:xx and c .yy=:yy ”); query.setProperties(entity);
    5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做法就是对参数的特殊字符进行过滤,推荐大家使用  Spring工具包的 StringEscapeUtils.escapeSql()方法对参数进行过滤:
public static void main( String [] args) {     String str = StringEscapeUtils.escapeSql( "'" );    System.out.println( str );}
  输出结果:''
原文地址( https://my.oschina.net/miger/blog/307683
(本篇博客内容取自于网络,如有侵权,请联系本人,以便于及时删除)
zhang_123xiao
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2108
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
sql.rar_sql注入_恶意代码
09-19
批量替换数据库中的字符串,比如sql server中被注入恶意代码,可批量替换!
MyBatis如何防止SQL注入
aodaidi6752的博客
09-13 1377
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
mybatis如何防止SQL注入
Lamb的博客
08-02 2039
sql注入解释:是一种代码注入技术,用于攻击数据驱动的应用,恶意SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是。
MyBatis怎么防止sql注入
m0_62381101的博客
09-22 3020
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
MyBatis防止sql注入
qq_37634156的博客
04-07 8819
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的防止sql注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
T-SQL篇如何防止SQL注入的解决方法
09-11
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意SQL命令,对于这种行为,我们应该如何制止呢?本文将介绍一种方法,希望可以帮助有需要的朋友
JDBC如何有效防止SQL注入
12-14
 那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意SQL命令。具体来说,它...
php防止sql注入的方法详解
12-18
 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入...
sql注入资料.zip
最新发布
04-17
攻击者通过在应用程序的输入字段中插入或“注入恶意SQL代码,从而实现对数据库的非法访问和操作。SQL注入不仅可能导致数据泄露、数据篡改等严重后果,还可能使攻击者获得对系统的完全控制。因此,深入理解SQL...
mybatis注入
whupanyinghua的专栏
06-10 1994
预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select,from,where,and,or,order by等等。数据库在执行该语句时,直接使用预编译的语句,然后用传入的userId替换占位符?$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。# {}是经过预编译的,是安全的;$ {}:是输出变量的值。
Spring+Mybatis应对代码扫描SQL注入问题
RuaGuGuGu的博客
09-03 1725
Spring+Mybatis应对代码扫描SQL注入问题 在一些代码安全扫描中,经常会出现难以处理的“SQL注入”漏洞,也就是在Mybatis的Mapper中使用了${} ,这些地方无法轻易改为#{},例如需要动态决定查询的表名。 那么我们应该如何应对这种棘手的情况呢? 首先,我们做一个假设,扫描软件只能识别$。在这种情况下,我们可以考虑改变Mapper中的占位符,比如改为@{}。这样,我们只需要在SQL语句被实际执行前,把写在代码里的@替换成$就行了,功能不会受影响,且扫描软件无法发现。 直接上代码: @C
mybatis防止sql注入
u012406790的专栏
09-15 438
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
springboot项目中mybatis日志导致前端界面数据不显示或与数据库数据不一样,yml配置解决数据异常问题
qq_51615662的博客
07-15 496
改成了这样,可以打印sql日志了,虽然不是我想要的上面的那样,但是这样数据也能正常显示,搞不懂为啥会这样,因为刚学到这里就开始做项目,然后搜了大概可能就是mybatis和mabatis-plus的冲突吧,但是他俩不是可以一起用吗,也不是很好懂。关于一个不是很懂的bug记录,因为在项目中需要看sql日志的打印去寻找错误于是配置了sql日志,起初是这样配置的。这张表里除了工号和姓名其余都是0,当然这不是我数据库的问题,也和什么字段匹配没有影响,我之前数据能够正常读取。没有sql语句打印了,但是我的数据正常了。
项目实训记录(十三)——mybatis中将数据库表名当作参数
pinkray_c的博客
06-07 1815
mybatis中#和$的区别
Mybatils 中使用$代码逃避扫描漏洞
doubleping的专栏
08-23 292
/注意,Mybatis会在首次加载Mapper的时候,把配置变量中存在的占位符先替换掉,而不是等到SQL执行的时候再替换。//那么,Mybatis初始化的时候会把Mapper中的所有${abc}替换为xxx。//将存放此sqlNode的地方换成TextSqlNode。//将存放此sqlNode的地方换成TextSqlNode。//把替换后的sqlNode保存到对应字段。//原text中将要被拼接的字符索引。//这里面会有Ambiguity。//记录占位符替换信息的结构体。//Mybatis的配置变量。
Mybatis框架下SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
MybatisMybatis如何防止sql注入
AliceNo的博客
01-03 4797
在软件开发过程中,数据安全一直是至关重要的一环。SQL 注入攻击是一种常见而危险的威胁,攻击者通过恶意构造 SQL 语句,试图绕过应用程序的合法性检查,访问、修改或删除数据库中的数据。MyBatis 作为一款流行的持久层框架,提供了多种机制来防范 SQL 注入攻击,开发者应当充分利用这些机制,保障应用程序的数据安全性。在应对 SQL 注入攻击时,MyBatis 的参数化 SQL 语句、动态 SQL 标签以及拦截器等功能为开发者提供了有力的支持。
mybatis相关记录:参数获取${}、#{},#{}是如何防止注入的?批处理插入和更新
weixin_43019537的博客
06-22 861
顺便贴下JDBC:JDBC编程之预编译SQL与防注入、JDBC连接如何防止SQL注入?参考:映射体系之ResultMap原理
怎么防止sql漏洞注入
04-03
2. 验证输入数据:验证输入数据是否符合预期格式,例如日期、数字、电子邮件地址等,可以防止恶意用户在输入数据中注入恶意代码。 3. 不要使用动态 SQL:尽可能不使用动态 SQL 语句,因为这样容易受到 SQL 注入攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值