Mybatis-SQL注入

已于 2022-09-14 20:09:34 修改
阅读量1.9k 收藏
点赞数
分类专栏: Hibernate/Mybatis 文章标签: java-ee mybatis
于 2022-05-05 14:26:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BtWangZhi/article/details/124588061
版权 
    /**
     * 测试sql注入攻击-sql会睡眠5秒才返回
     */
    @Test
    public void test02() {
        QueryWrapper<Result> queryWrapper = new QueryWrapper<>();
        queryWrapper.select(Result.ID);
        String param = "' and (select * from (select sleep(5)) a) ='";
        String format = String.format(" %s REGEXP CONCAT('(',REPLACE('%s',',','|'),')') ",
                Result.HIT_MIND_LABEL, param);
        System.out.println(format);
        queryWrapper.apply(format);
        List<Result> list = resultService.list(queryWrapper);
        System.out.println(JSON.toJSONString(list));
    }

    /**
     * 防sql注入,如下不会出现sql注入
     */
    @Test
    public void test03() {
        System.out.println(JSON.toJSONString(resultService.list().stream().map(Result::getHitMindLabel).toArray()));
        QueryWrapper<Result> queryWrapper = new QueryWrapper<>();
        queryWrapper.select(Result.ID);
        //queryWrapper.eq(Result.COMPANY_ID, 279);
        //String param=" '' and (select * from (select sleep(5)) a) = '' ";
        String param = "333,444";
        queryWrapper.apply(Result.LABLE+ " REGEXP CONCAT('(',REPLACE({0},',','|'),')') ", param);
        List<Result> list = resultMapper.selectList(queryWrapper);
        System.out.println(JSON.toJSONString(list));
    }

错误的写法:

        queryWrapper.apply(StringUtils.isNotEmpty(resultQueryDTO.getHitMindIds()),
                String.format(" %s REGEXP CONCAT('(',REPLACE('%s',',','|'),')') ",
                        Result.HIT_MIND_LABEL, resultQueryDTO.getHitMindIds()));

正确的写法

        queryWrapper.apply(StringUtils.isNotEmpty(resultQueryDTO.getHitMindIds()),
                Result.HIT_MIND_LABEL + " REGEXP CONCAT('(',REPLACE({0},',','|'),')') ", resultQueryDTO.getHitMindIds());
BtWangZhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
QueryWrapper可避免大多数的SQL注入风险
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-19 1685
QueryWrapperMyBatis-Plus 中的一个功能,它提供了一种链式查询条件的方式,使得构建查询条件更加直观和简洁。虽然QueryWrapper提供了一个更加现代化和方便的方式来构建查询,但它并不完全替代传统的 SQL 拼接。
mybatis-plus 自带QueryWrapper自定义sql实现复杂查询
热门推荐
瑶山的博客
03-11 3万+
目录常用写法自定义sql补充: 查询条件中使用函数apply补充: 末尾sql追加last补充:排序 自定义sql 返回结果是一个list, 里面的map key是查询的属性名, value是参数值。伪代码示意:list[0] map[0] (sex=1) map[1] (num=5) map[2] (sexStr=男)list[1] map[0] (sex=1) map[1] (num=5) map[2]
MyBatis Plus Wrapper 参数化处理和防止 SQL 注入
最新发布
2401_85480529的博客
06-05 646
MyBatis Plus 提供了强大的Wrapper类,用于构建安全的动态 SQL 查询。通过自动参数化处理,MyBatis Plus 确保了 SQL 语句的安全性,有效防止了 SQL 注入风险。使用Wrapper类可以极大简化复杂查询的构建过程,同时保证了查询的安全性。
【代码审计】-Mybatis框架使用不当导致的SQL注入问题
apearapeach的博客
10-12 1102
Mybatis框架使用不当导致的SQL注入问题
mybatis-plus---条件构造器是如何解决sql注入
李晨璐的博客
04-30 2083
项目中在使用mybaits-plus时,会产生mybaits-plus时如何解决sql注入的疑问,下面就让我们一探究竟! 以下代码是往条件构造器赋值 Map<String, Object> conditionMap = new HashMap<>(); if (StringUtils.isNotBlank(ruleName)) { conditionMap.put("rule_name", ruleName); .
MybatisSQL注入
浩瀚银河
10-16 2398
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
Mybatis动态拼接sql
weixin_56762855的博客
10-12 2537
Mybatis
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
支持主键自动生成、支持ActiveRecord模式,支持自定义全局通用操作、支持关键词自动转义,内置代码生成器、内置分页插件、内置性能分析插件,内置全局拦截插件、内置sql注入剥离器 《MyBatis-Plus入门文档》主要...
mybatis-plus-demo
07-10
例如,我们可以使用 `LambdaQueryWrapper` 或 `QueryWrapper` 来构建复杂的查询条件,无需手动拼接 SQL,避免了 SQL 注入的风险。 此外,MyBatis-Plus 还支持主键自动生成策略,包括 ID_WORKER(雪花算法)、UUID ...
mybatis-plus 源码(mybatis-plus-3.0.zip)
03-03
1. **基础概念**:MyBatis-Plus是一个轻量级的Java框架,主要功能包括自动化 CRUD(创建、读取、更新、删除)操作,支持自定义SQL、存储过程以及丰富的查询条件构造器。 2. **Entity实体类**:在MyBatis-Plus中,...
QueryWrapper当作参数传入方法中,在自定义SQL中使用
weixin_52308594的博客
11-01 5269
QueryWrapper当作参数传入方法中,在自定义SQL中使用
从实践的角度来回顾一下SQL注入
代码小疯子
10-29 397
sql 注入就是用户可以通过 输入关键字来影响原本正确的sql ,
mybats-puls---条件构造器Wrapper,插件扩展,SQL注入器,公共字段填充
guoguo0717的博客
05-20 485
条件构造器Wrapper(看官网即可) 代码生成器 AutoGenerator 是 MyBatis­Plus 的代码生成器,通过 AutoGenerator 可以快速生成 Entity、Mapper、Mapper XML、Service、Controller 等各个模块 的代码,极大的提升了开发效率。 其实在学习mybatis的时候我们就使用过逆向工程,根据我们的数据表 来生成的对应的实体类,DAO接口和Mapper映射文件,而MyBatis­plus提供了 更加完善的功能,下面来针对两种方式做一个基本的对
sql注入详解 一文了解sql注入所有常见方法
闵行小鱼塘
09-22 3316
刷完了sqli-labs,对sql注入有了些许认识,在此做个小结与记录
Mybatis-plus动态条件查询QueryWrapper的函数用法
码农研究僧的博客
12-22 1万+
原本都是在Mapper文件中修改,直到看到项目中使用了QueryWrapper这个函数,大致了解了用法以及功能,发现还可以!对此此贴为科普帖以及笔记帖。
MybatisPlus是否防止SQL注入
wgx_0504的博客
05-06 3888
如果我希望使用mybatisplus同时也进行防SQL注入操作,应该怎么处理?
MyBatis-Plus使用通配符组装QueryWrapper条件构造器
白领说事的专栏
11-03 1903
1、前端输入指定的约束条件字符,后端接收进行组装QueryWrapper条件构造器 QueryWrapperConverter.class import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper; import org.springframework.util.StringUtils; import java.lang.reflect.Field; import java.lang.reflect.Method; i..
mybatis-plus sql注入
04-06
Mybatis-plus SQL注入器是一个用于增强MyBatis-Plus功能的组件,可以帮助开发者更加容易地构建复杂的SQL语句,避免SQL注入的风险,并且支持自定义的SQL注入逻辑。它可以大大提高开发效率,让开发者可以更加专注业务逻辑的处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值