关于MyBatis的模糊查询的SQL注入问题

最新推荐文章于 2024-03-22 10:30:00 发布
最新推荐文章于 2024-03-22 10:30:00 发布
阅读量396 收藏 10
点赞数 9
文章标签: mybatis sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75489337/article/details/135094653
版权

sql注入代码:

    //sql注入
    public User login(User user);
   <select id="login" parameterType="com.by.pojo.User" resultType="com.by.pojo.User">
        select * from user where username = '${username}' and password = '${password}'
    </select>
    <select id="login" parameterType="com.zh.pojo.User" resultType="com.zh.pojo.User">
        select * from user where username=#{username} and password=#{password}
    </select>
  @Test
    public void testLogin(){
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo = new User();
        userInfo.setUsername('xxx' #");
        userInfo.setPassword("123");
        User user = userDao.login(userInfo);
        System.out.println(user);
    }

#{} 和${}的区别:

#{}符

  1. #{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换

  2. #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类 型值,#{}括号中可以是 value 或其它名称。

  3. #{}可以有效防止 sql 注入。

${}符

  1. ${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换

  2. ${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value

结论:

1.${}不防止SQL注入 #{}可以防止SQL注入 
2.除了模糊匹配外,尽量不使用使用${}
栀栀栀夏夏夏
关注
Mybatis中的Map的使用和模糊查询的需求实现及其防SQL注入优化
一键难忘的博客
03-26 581
Java 代码执行的时候,传递通配符%%在 sql 拼接中使用通配符!
Mybatis模糊查询sql注入
m0_74356429的博客
12-21 630
{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换。${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换。${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value。UserDao.xml配置文件。UserDao.xml 文件。UserDao 接口。
MyBaits系列(三)MyBatis模糊查询SQL注入
大鱼的博客
04-28 1066
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
mybatis模糊查询like报sql注入问题
dhklsl的专栏
07-19 2261
mybatis模块查询sql注入问题
模糊查询 防止SQL注入
maihoney的专栏
06-22 887
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
Mabatis中模糊查询防止sql注入
雏鸟飞翔之路
07-17 556
  #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   select * from user where name like concat('%', #{name}, '%') Oracle:  select * from use...
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1150
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
mybatis 模糊查询的实现方法
12-16
这种方式无法防止SQL注入,因为传入的值会被原样插入到SQL语句中,如果参数包含恶意SQL代码,可能会导致安全问题。 在进行模糊查询时,通常推荐使用`#`,因为它更安全。例如,以下是一个在`UserMapper.xml`中的模糊...
详解Mybatis框架SQL防注入指南
08-18
Mybatis框架是一个流行的...总的来说,了解MybatisSQL注入防护机制,并结合代码审查和测试,可以有效地防止这类安全问题的发生。在开发过程中,应始终把安全放在首位,遵循最佳实践,确保应用程序的稳定性和安全性。
模糊查询 防止SQL注入
fangyana的博客
12-04 765
bind + #{} 模糊查询防止SQL注入(#{}进行预编译,传递的参数不进行编译,只作为参数,相当于PreparedStatement) bind元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。比如: <select id="selectBlogsLike" resultType="Blog"> <bind name="pattern" value="'%' + _parameter.getTitle() + '%'" /> SELECT * ...
【JOOQ】解决模糊查询sql注入问题
Qing__zi的博客
03-09 584
jooq模糊查询,解决sql注入
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1443
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
模糊查询防注入
微笑偷走我的魂的博客
05-31 779
关于模糊查询防注入,目前有两种解决方案:1.是采用:name like '%' || #name# || '%' 这种方式,但是使用的时候,考虑到索引问题,上面这种语句是不会走索引的,有时候会遇到检索不到数据奇怪的现象,所以不推荐。2.是在代码层做控制 : if (!StringUtil.isEmpty(this.companyName)) {       table.setCom
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
m0_59598029的博客
03-22 2296
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
网络安全必学SQL注入
dzqxwzoe的博客
06-20 878
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。注入攻击的本质,是把用户输入的数据当做代码执行。
MyBatisSQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 785
以上就是mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 8170
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
mybatis模糊查询防止SQL注入
weixin_34348805的博客
11-11 645
  SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值