MyBatis 防止 % _ sql 注入攻击 解决方法

最新推荐文章于 2024-07-13 15:36:01 发布
最新推荐文章于 2024-07-13 15:36:01 发布
阅读量6.7k 收藏 4
点赞数 1
分类专栏: 日常 文章标签: java mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RobertTony_Java/article/details/51272268
版权


首先说思路,在mybatis中防止sql注入,目前只能在Controller层进行转义,后台sql进行查询,然后在controller层转义回来,返回到前台。


理论上应该可以在dao.xml中进行判断   但是目前还没写出来。Orz


上代码

@RequiresPermissions("member:member:view")
	@RequestMapping(value = {"list", ""})
	public String list(Member member, HttpServletRequest request, HttpServletResponse response, Model model) {

		/** -- 以下 防止sql%注入 故对其进行转化---- **/
		String companyName = member.getCompanyName();
		String loginName = member.getLoginName();

		if (companyName != null ) {
			if(companyName.contains("%")){
				member.setCompanyName(companyName.replaceAll("\\%", "\\\\%"));
			}
			if(companyName.contains("_")){
				member.setCompanyName(companyName.replaceAll("\\_", "\\\\_"));
			}
		}

		if (loginName != null) {
			if (loginName.contains("%")) {
				member.setLoginName(loginName.replaceAll("\\%", "\\\\%"));
			}
			if (loginName.contains("_")) {
				member.setLoginName(loginName.replaceAll("\\_", "\\\\_"));
			}
		}
		
		/** --  转化完毕 -- **/

		Page<Member> page = memberService.findPage(new Page<Member>(request,
				response), member);
		
		/**-- 将转化的字符恢复原来的值 --**/
		if (companyName != null) {
			member.setCompanyName(companyName);
		}
		/**-- 将转化的字符恢复原来的值 --**/
		if (loginName != null) {
			member.setLoginName(loginName);
		}
		model.addAttribute("page", page);

		return "dsp/member/memberList";
	}


sql

<select id="findList" resultType="Member">
		SELECT 
			<include refid="memberColumns"/>
		FROM dsp_member a
		<include refid="memberJoins"/>
		<where>
			a.del_flag = #{DEL_FLAG_NORMAL}
			<if test="companyName != null and companyName != ''">
				AND a.company_name LIKE 
					<if test="dbName == 'oracle'">'%'||#{companyName}||'%' ESCAPE '\'</if>
					<if test="dbName == 'mssql'">'%'+#{companyName}+'%'</if>
					<if test="dbName == 'mysql'">concat('%',#{companyName},'%')</if>
			</if>
			<if test="loginName != null and loginName != ''">
				AND a.login_name LIKE 
					<if test="dbName == 'oracle'">'%'||#{loginName}||'%' ESCAPE '\'</if>
					<if test="dbName == 'mssql'">'%'+#{loginName}+'%'</if>
					<if test="dbName == 'mysql'">concat('%',#{loginName},'%')</if>
			</if>
			<if test="validStatus != null and validStatus != ''">
				AND a.valid_status = #{validStatus}
			</if>
		</where>
		<if test="sqlMap.confSql != null and sqlMap.confSql != ''">
		${sqlMap.confSql}
		</if>
		<choose>
			<when test="page !=null and page.orderBy != null and page.orderBy != ''">
				ORDER BY ${page.orderBy}
			</when>
			<otherwise>
				ORDER BY a.update_date DESC
			</otherwise>
		</choose>
	</select>

sql这里主要是用 ESCAPE 进行转义

<if test="dbName == 'oracle'">'%'||#{companyName}||'%' ESCAPE '\'</if>
<if test="dbName == 'oracle'">'%'||#{loginName}||'%' ESCAPE '\'</if>





RobertTony_Java
关注
专栏目录
mybatis如何防止SQL注入
蜻蜓队长
09-11 1280
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis防止SQL注入
最新发布
Jc0803kevin的专栏
07-13 1253
防止SQL注入的中心思想就是参数化查询,将输入当作参数传递,而不是直接拼接到 SQL 语句中。常见的防止SQL注入的方式1、#{}2、3、[配置 SQL 注入过滤器](#配置 SQL 注入过滤器)
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 877
mybatis模糊查询防止sql注入
MyBatis 如何防止SQL注入 —— 底层原理
demo_yo的博客
03-15 1872
一、SQL注入 SQL注入是在Web页面的查询入口传入SQL非法参数,在事先定义好的查询语句的结尾上添加额外的SQL语句,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器执行,威胁数据库数据信息安全。 二、SQL注入方法 由于编写程序时未对用户输入数据的合理性进行判断,导致攻击者能在SQL注入点中夹杂代码进行执行,并通过页面返回的提示,获取进行下一步攻击所需的信息。根据输入的参数,可将SQL注入方式大致分为两类:数字型注入、字符型注入。 1. 数字型注入 当输入的参数为整型时,如ID、年龄、
mybatis防止SQL注入方法实例详解
08-27
MyBatis 通过使用预编译语句和存储过程来防止 SQL 注入攻击。例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以...
mybatissql_mybatis解决sql注入
12-22
2. **使用SafeMapper插件**:MyBatis社区提供了一个名为SafeMapper的插件,它可以自动检查SQL语句,确保所有的用户输入都被正确地转义,防止可能的SQL注入攻击。 3. **使用MyBatis的拦截器**:通过实现`Interceptor...
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
MyBatis的Like查询用Concat解决模糊查询中'%'放置至Sql语句中,同是防止sql注入
何阳的博客
05-07 5366
Concat函数:Concat函数可以连接一个或者多个字符串,若其中一个为null,则返回null用Concat(org1,org2,....)将 %与 #{name}与连接在一起,避免将sql中%放到java代码中(即避免硬编码)语句如下:...
Mybatis防止SQL注入攻击
I'm Baymax D
08-05 1580
相比于ORM框架,Mybatis只能被称为半自动持久层框架,它其实是将JDBC进行了轻量级的封装,提供SQL映射能力,便于更为方便地管理项目中的SQL代码。 JDBC在使用时存在SQL注入攻击的风险,同样需要进行SQL编写的Mybatis同样也有这个问题,在使用时需要注意,防止被别有用心的人利用。 那么在Mybatis中如何避免SQL注入攻击呢? 答:在SQL映射文件中尽量使用#指示符标识参...
防止sql注入
厄多斯L的博客
08-21 345
# 存在sql注入 sql = """select * from info where code = '%s';""" % stock_code # 避免通过stock_code进行sql注入 sql = """select * from info where code=%s;""" cs.execute(sql, (stock_code,)) # 将stock_code以元组的方式传入 ...
mybatis模糊查询去除特殊符号%(百分号)和_(下划线)
gm371200587的博客
07-26 1万+
在使用mybatis的模糊查询时,有俩个特殊符号需要注意: %:相当于任意多个字符; _:相当于任意的单个字符; 根据需求可以选择甄别,如果有要求排除特殊符号,那么写法如下: 在控制层接收到对应值得地方,加入replaceAll(): if(param != null){ map.put("param", param.replaceAll("%", "/%").rep...
mybatis模糊查询防止通配符注入
一只渣渣程序猿
08-23 963
模糊查询一般这么写 <if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''"> AND a.materials_name LIKE CONCAT('%',#{dto.specialSubjectName},'%') </if> 问题: 当用户输入了% _ 等通配符之后,若后端不进行过滤处理的话,传到数据库就是这个样子的。 AND a.materials_name LIKE '%.
MyBatis模糊查询防止通配符查询
weixin_41894177的博客
03-31 1144
错误示例; 当传参为%时,where 条件失效 select * from test as t1 where t1.tiltle like concat('%',#{title},'%');
MyBatis 特殊字符转义拦截器 针对(_、\、%)
zhouzhiwengang的专栏
04-27 5169
一、问题反馈 今天公司测试向我反馈,系统用户模糊查询功能在用户名称包含特殊字符时(_、\、%)无法正常查询结果。 二、问题验证 1、当like中包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段中包含有_特殊字符的结果条目 2、like中包括%时,与1中相同 3、like中包含\时,带入查询时,%\%无法查询到包含字段中有\的条目 三、问题解决思路 1、采用MyBatis 拦截器机制,处理模糊查询中包含特殊字符(_、\、%) 四、核心
Mybatissql语句中下划线_,百分号%的转义处理---escape的作用
热门推荐
杨杨得懿的博客
05-11 3万+
escape 是sql中的关键字,定义转义字符。如下:SELECT * FROM student t where t.name like '%/%' escape '/';执行结果为:SELECT * FROM student t where t.name like '%%' escape '/';执行结果为:注:由此可见,escape '/' 是指用'/'说明在/后面的字符不是通配符,而是普通符...
防止前台传符号MyBatis处理xml文件中的SQL条件问题
John的博客
08-14 138
问题如下所示,当你以中文形式输入时,没有输鼠标往旁边一点,输入框的字符就会带入单引号,然后传入后台,以至于报错 后台如图所示: 第一种方式就会出现报错问题,如下所示: <if test="ew.shipperNo != null and ew.shipperNo !='' "> and a.shipper_no like '%${ew.shipperNo}' </if> 第二种方式不会出现报错问题,如下所示: <if ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值