MyBatis如何防止SQL注入

最新推荐文章于 2024-09-05 10:39:00 发布
最新推荐文章于 2024-09-05 10:39:00 发布
阅读量153 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/PreachChen/p/9103278.html
版权

SQL注入

什么是SQL注入呢?首先SQL注入是一种攻击手段,一种使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息的攻击手段。

MyBatis如何防止SQL注入

SQL中#和$区别
#$
相当于对数据加上双引号相当于直接显示数据
很大程度上防止SQL注入无法防止SQL注入
#{xxx},使用的是PreparedStatement,会有类型转换,比较安全${xxx},使用字符串拼接,容易SQL注入

 简单的说就是#{}是经过预编译的,是安全的,${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

例子

 1 <select id="selectBackGoodsDetail" resultType="java.util.Map">
 2     SELECT sum(a.item_num) backGoodsNum,a.item_price backGoodsPrice,
 3     sum(a.item_num * a.item_price) backGoodsSumPrice,
 4     b.barcode,b.name itemName,b.weight,c.name itemCategoryName
 5     FROM back_goods_detail a
 6     LEFT JOIN item b ON a.item_id=b.id
 7     LEFT JOIN item_category c ON b.item_category_id =c.id
 8     <where>
 9         <if test="backGoodsId!=null">
10             a.back_goods_id = #{backGoodsId}
11         </if>
12         <if test="itemCategoryId!=null">
13             AND b.item_category_id = #{itemCategoryId}
14         </if>
15         <if test="searchKey!= null">
16             AND (b.sequence LIKE CONCAT('%', #{searchKey}, '%')
17             OR b.name LIKE CONCAT('%', #{searchKey}, '%')
18             OR b.barcode LIKE CONCAT('%',#{searchKey},'%'))
19         </if>
20     </where>
21     GROUP BY a.item_id
22     LIMIT #{pageStart},#{pageNum}
23 </select>

转载于:https://www.cnblogs.com/PreachChen/p/9103278.html

Fanqi0928
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java mysql防注入_mybatis防止SQL注入的方法实例详解
weixin_39647471的博客
01-19 297
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明:假设数据库中存在这样的表:table user(id varchar(20) PRIMARY KEY ,name varchar(20) ,age varchar(20) );然后使用JDBC操作表:private String getNam...
java mysql防注入_Mybatis防止sql注入的实例
weixin_39618176的博客
01-27 227
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1'='1'”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种...
Mybatis框架下SQL注入漏洞处理
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
Mybatis-plus sql注入以及防止sql注入
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
sql注入mybatis防止sql注入
cristianoxm的博客
03-25 3549
一、Sql 注入漏洞详解 Sql 注入产生原因及威胁: 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。 Sql 注入带来的威胁主要有如下几点 猜解后台数据库,这是利用最多的方式,盗取网站的
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
【转】mybatis如何防止sql注入
weixin_33910460的博客
08-18 418
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种...
Mybatis防止Sql注入
热门推荐
Daniel的博客
05-25 2万+
一、什么是Sql注入 sql注入是一种代码注入技术,将恶意的sql插入到被执行的字段中,以不正当的手段多数据库信息进行操作。 在jdbc中使用一般使用PreparedStatement就是为了防止sql注入。 比如代码 :"select * from user where id =" + id; 正常执行不会出现问题,一旦被sql注入,比如将传入参数id=“3 or 1 = 1”,那么sq...
mybatis如何防止SQL注入
蜻蜓队长
09-11 1266
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
JavaWeb】JDBC&Druid&Tomcat入门使用
lklalmq的博客
09-04 1075
预编译SQL语句并执行:预防SQL注入问题获取 PreparedStatement 对象// SQL语句中的参数值,使用?占位符替代?// 通过Connection对象获取,并传入对应的sql语句设置参数值上面的sql语句中参数使用?进行占位,在之前之前肯定要设置 这些?的值。PreparedStatement对象:setXxx(参数1,参数2):给?赋 值Xxx:数据类型;如 setInt (参数1,参数2)参数:参数1:?的位置编号,从1 开始参数2:?的值执行SQL语句。
okhttp,retrofit,rxjava 是如何配合工作的 作用分别是什么
追梦的鱼儿
09-04 560
OkHttp、Retrofit 和 RxJava 是 Android 开发中常用的三种库,它们各自有不同的作用,并且可以很好地配合工作来实现网络请求和响应的处理。
JAVA基础:数据类型、命名规范
最新发布
weixin_53755148的博客
09-05 1281
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
SpringBoot 项目集成 xxl-job
qq_58159506的博客
09-03 707
SpringBoot 项目集成 xxl-job
mybatis防止sql注入
04-07
MyBatis 有以下几种方法来防止 SQL 注入: 1. 使用参数化查询 MyBatis 推荐使用参数化查询来防止 SQL 注入。参数化查询使用 ? 或者 #{param} 来表示占位符,然后使用 PreparedStatement 进行预编译,将参数设置到占位符中,最后执行查询操作。这种方式可以避免用户输入的参数直接拼接到 SQL 语句中,从而防止 SQL 注入攻击。 示例: ``` <select id="getUserById" parameterType="int" resultType="User"> SELECT * FROM user WHERE id = #{id} </select> ``` 2. 使用动态 SQL MyBatis 的动态 SQL 可以根据条件动态生成 SQL 语句,避免拼接 SQL 语句时产生 SQL 注入漏洞。MyBatis 提供了多种动态 SQL 标签,如 if、choose、when、otherwise、foreach、set、trim、where、sql 等。 示例: ``` <select id="getUserList" parameterType="Map" resultType="User"> SELECT * FROM user <where> <if test="name != null and name != ''"> AND name = #{name} </if> <if test="age != null"> AND age = #{age} </if> </where> </select> ``` 3. 使用 SQL 注入过滤器 MyBatis 可以通过插件来实现 SQL 注入过滤器,对于输入的参数进行过滤和转义,确保参数不会被注入到 SQL 语句中。 示例: ``` public class SqlInjectionPlugin implements Interceptor { @Override public Object intercept(Invocation invocation) throws Throwable { Object[] args = invocation.getArgs(); for (int i = 0; i < args.length; i++) { if (args[i] instanceof String) { args[i] = sqlInjectionFilter((String) args[i]); } } return invocation.proceed(); } private String sqlInjectionFilter(String param) { // 进行参数过滤和转义 return param; } @Override public Object plugin(Object target) { return Plugin.wrap(target, this); } @Override public void setProperties(Properties properties) { // 配置属性 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值