用Ibatis中Like中SQL注入,被批

最新推荐文章于 2021-01-19 13:51:33 发布
最新推荐文章于 2021-01-19 13:51:33 发布
阅读量224 收藏
点赞数
文章标签: SQL iBATIS Oracle MySQL 单元测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ThinkInMyLife/article/details/83367793
版权

在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!

sql语句:

select *
        from (select 1 from poll
        <dynamic prepend=" where ">
            <isNotEmpty prepend=" and " property="title">
                title like '%$title$%'
            </isNotEmpty>
            <isNotEmpty property="used">
                <isEqual compareValue="true" prepend=" and " property="used">
                    <![CDATA[status & 2 > 0 and status & 1 <= 0 and status & 8 <= 0 ]]>
                </isEqual>
            </isNotEmpty>
            <isNotEmpty prepend=" and " property="startTimeBegin">
                <![CDATA[ gmt_create >= #startTimeBegin# ]]>
            </isNotEmpty>
            <isNotEmpty prepend=" and " property="startTimeEnd">
                <![CDATA[ gmt_create <= #startTimeEnd# ]]>
            </isNotEmpty>
        </dynamic>
        limit 10000
        ) as t

 请关注此写法的:

title like '%$title$%'

存在SQL注入漏洞。

下面是一段单元测试:

PollQuery query = new PollQuery();
query.setCurrentPage(1);
query.setPageSize(50);
query.setTitle("1231%' or '1%' = '1");//很简单的写法:(
List<SnsPollDO> l = pollDAO.findPollList(query);
System.out.println(l.size())

 测试结果(打印处的sql语句):

1. select * from poll   where    title like '%1231%' or '1%' = '1%'

尽管 title 没匹配对,但是or后面那句是恒等的。哎!

看来下面的写法只是简单的转义下:

title like '%$title$%'

如何解决:

在oracle下面改成:title like '%'||#title#||'%',这样肯定是可以的。

但是在mysql中,上述写法是不行,还是有上面的问题的:

select  * from poll where  title like '%'||?||'%'  order by gmt_create desc   limit ?, ?

 还能查出结果来!哎!

得用:title CONCAT('%',#title#,'%')

select * from poll  where  title like CONCAT('%',?,'%')  order by gmt_create desc limit ?, ?

呵呵,多次测试均没有发现问题!

ThinkInMyLife
关注
MyBatisSQL注入攻击和防护——掌握技巧保护应用安全
程序员光剑
07-28 1230
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
代码审计:MyBatis框架SQL注入查询
最新发布
墨痕诉清风的博客
08-29 235
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
ibatissql注入
各研发管理
04-03 176
今天亲自试了一把,原来ibatis的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对or...
ibatis like查询防sql注入
caoliangbo的博客
09-07 217
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。 下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name#,'%')  oracle: select * from stu where name like '%'||#name#||'%' SQL Server:...
ibatis SQL注入问题
折翼只为爱
06-03 228
        ibatis要增加一个排序功能 按照惯性思维增加了这样的代码 &lt;isNotNull prepend="," property="orderColumn"&gt; order by #orderColumn# &lt;/isNotNull&gt; 运行起来不符合预期 检查了生成了原始语句,发现组装成的SQL变成了  order by 'name'...
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
ibatis解决sql注入问题
小白编程
05-28 317
对于ibaits参数引用可以使用#和$两种写法,其#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
通过ibatis解决sql注入问题
08-29
然而,在使用iBatis时,开发人员经常面临着SQL注入问题。SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统崩溃等严重后果。因此,解决SQL注入问题是非常重要的。本文将介绍如何通过iBatis解决SQL...
mysqllike语句注入_like查询SQL注入
weixin_39643865的博客
01-19 4063
list = schoolDao.getSchoolByName("长乐一%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
mybatis与SQL注入
9981
12-15 714
SQL注入 1.SQL 注入 首先了解下概念,什么叫SQL 注入: SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之注入SQL指令,在设计不良的程序当忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 给大家举几个常见的SQL注入的例子: 1.比如验证用户登录需要 userna...
iBatis解决自动防止sql注入
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
iBatisSQL注入问题
lc893572812的专栏
11-03 1348
sqlMap尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2145
1. 什么是SQL 注入 关于SQL 注入在科普国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
sql注入攻击详解(二)sql注入过程详解
cuiyaoqiang的博客
06-11 3540
在上篇博客我们分析了sql注入的原理,今天我们就来看一下sql注入的整体过程,也就是说如何进行sql注入,由于本人数据库和网络方面知识有限,此文章是对网上大量同类文章的分析与总结,其有不少直接引用,参考文章太多,没有注意出处,请原作者见谅) SQL注入攻击的总体思路是:1.发现SQL注入位置; 2.判断后台数据库类型; 3.确定XP_CMDSHELL可执行情况 4.发现WEB虚拟目录 5
sql防止注入 like 和 in 应该怎么写
英雄汉孑的博客
08-25 6404
防止注入 like 和 in 应该怎么写
SQL注入攻击常见方式及测试方法
热门推荐
Lambda_Y的博客
11-04 11万+
本文主要针对SQL注入的含义、以及如何进行SQL注入和如何预防SQL注入让小伙伴有个了解。适用的人群主要是测试人员,了解如何进行SQL注入,可以帮助我们测试登录、发布等模块的SQL攻击漏洞,至于如何预防SQL注入,按理说应该是开发该了解的事情~但是作为一个棒棒的测试,搞清楚原理是不是能让我们更加透彻地理解bug的产生原因呢~好啦,话不多说,进入正题~ 如何理解SQL注入(攻击)? SQL注入
iBatis解决sql注入问题的方法
czw698的专栏
09-28 1143
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的            name like #name#      但是它跟            name = #name#    没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:         name like '%$name$%' 但这时会导致sql注入
iBATIS关键字like查询优化与MySQL/SQLServer适配
iBATIS的`<select>`标签用于定义SQL查询,其核心在于如何使用参数化查询来防止SQL注入攻击。原始的想法是直接使用`<#>`符号将参数与SQL语句合并,例如: ```xml select * from t_stu where s_name like #name# `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值