换行导致无法模拟SQL注入

最新推荐文章于 2023-04-27 16:53:45 发布

My_Java_Life

最新推荐文章于 2023-04-27 16:53:45 发布

阅读量242

点赞数

分类专栏： Mysql 数据库

本文链接：https://blog.csdn.net/My_Java_Life/article/details/116903447

版权

Mysql 数据库专栏收录该内容

3 篇文章 0 订阅

订阅专栏

在使用 Mybatis 时，取值时，应尽量使用 # 取值，因为当使用 $ 取值时，会出现SQL注入的风险。

比如下面的登录校验语句，如果用户名输入 '' or 1=1 #，可以实现SQL注入

    <select id="getUserByNameAndPwd" resultType="com.cry.mall.entity.User">
        select *
        from c_user
        where user_name = ${userName} and password = ${password}
    </select>

查询语句取值后会变成：

select *
from c_user
where user_name = '' or 1=1 # and password = 'xxx'

换行导致无法SQL注入

但是，当 and 变成换行时，无法实现SQL注入

    <select id="getUserByNameAndPwd" resultType="com.cry.mall.entity.User">
        select *
        from c_user
        where user_name = ${userName}
        and password = ${password}
    </select>

因为 # 没有注释掉and语句，查询语句取值后会变成：

select *
from c_user
where user_name = '' or 1=1 # 
and password = 'xxx'

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

My_Java_Life

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
换行导致无法模拟SQL注入

在使用 Mybatis 时，取值时，应尽量使用 # 取值，因为当使用 $ 取值时，会出现SQL注入的风险。比如下面的登录校验语句，如果用户名输入 '' or 1=1 #，可以实现SQL注入 <select id="getUserByNameAndPwd" resultType="com.cry.mall.entity.User"> select * from c_user where user_name = ${userName} and
复制链接

扫一扫