MySQL基础系列:SQL注入

最新推荐文章于 2024-05-26 08:31:14 发布
最新推荐文章于 2024-05-26 08:31:14 发布
阅读量273 收藏 1
点赞数 1
分类专栏: # MyBatis # 数据库ABC 文章标签: MySQL MyBatis SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xin_101/article/details/115055326
版权

1 SQL注入

入参参与SQL的编译,即会造成SQL注入,在入参中携带其他可执行的SQL语句,这些语句即时传入即时编译,会造成SQL注入。
如果SQL在入参以前即完成编译,出入的参数只作为参数的话,即可避免SQL注入。
MyBatis通过#{}接收的参数,避免了参数注入可执行语句,即在接收入参以前完成编译。

2 MyBatis

MyBatis有两种接收参数的方式,KaTeX parse error: Expected 'EOF', got '#' at position 4: {}和#̲{},其中,``{}方式入参参与编译,无法避免SQL注入,#{}方式入参不参与编译,可避免SQL注入。

2.1 ${}实现SQL注入

  • 入参
{
    "username":"'admin' or 1=1",
    "password":"admin",
    "verifyCode":1
}
  • SQL
<select id="login" parameterType="com.hardsoft.monkeyrun.modules.user.dto.UserInputDTO" resultType="com.hardsoft.monkeyrun.modules.user.dto.UserLoginOutputDTO">
        SELECT
            user_id userId,
            username username,
            password password
        FROM
            user_information
        <where>
            <if test="username !=null and username != ''">
                and username = ${username}
            </if>
            and is_delete = #{deletedFlag}
        </where>
    </select>

2.1 #{}防止SQL注入

  • 入参
{
    "username":"admin",
    "password":"admin",
    "verifyCode":1
}
  • SQL
<select id="login" parameterType="com.hardsoft.monkeyrun.modules.user.dto.UserInputDTO" resultType="com.hardsoft.monkeyrun.modules.user.dto.UserLoginOutputDTO">
        SELECT
            user_id userId,
            username username,
            password password
        FROM
            user_information
        <where>
            <if test="username !=null and username != ''">
                and username = #{username}
            </if>
            and is_delete = #{deletedFlag}
        </where>
    </select>

【参考文献】
[1]https://blog.csdn.net/weixin_39986856/article/details/83651847

天然玩家
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php mysql 注入漏洞_PHP安全:SQL注入漏洞防护
weixin_35999303的博客
01-28 1510
原标题:PHP安全:SQL注入漏洞防护SQL注入是最危险的漏洞之一,但也是最好防护的漏洞之一。本文介绍在PHP的编码中合理地使用MySQL提供的预编译进行SQL注入防护,在PHP中使用PHP数据对象扩展或MySQLi扩展连接数据库,并且对SQL语句进行预编译处理。如果在一些项目中无法使用预编译来防止SQL注入,可以采用传统方法来验证用户的输入是否合法,严格控制输入参数的数据类型,过滤非法字符,拦截...
mysql like 防注入_MySQLSQL 注入:防止SQL注入、Like语句中的注入
weixin_42355387的博客
01-26 1348
MySQLSQL 注入如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的...
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
CISP-PTE练习篇(基础题目一:SQL注入
wojiaoqwe的博客
01-31 1898
本文仅当作练习记录使用。
SQL注入:原理及示例讲解,配置mysql环境变量,pikachu靶场搭建
h1008685的博客
05-26 762
sql注入原理即示例,配置mysql系统环境变量,配置皮卡丘靶场
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4962
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
Mysqlsql注入
qq_47897078的博客
02-06 1558
Mysqlsql注入 定义 SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时采用SQL。而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 特点 1、广泛性 任何一个基于SQL语言的数
SQL注入:报错注入
qq_68163788的博客
01-27 1957
QL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入中注入恶意的SQL代码来执行未经授权的数据库操作。报错注入是一种SQL注入的类型,它利用数据库在执行恶意SQL语句时产生的错误消息来获取有关数据库结构和数据的信息。 假设有一个使用用户输入构建SQL查询的应用程序。攻击者可以通过在输入中注入恶意的SQL代码来触发数据库错误,并从错误消息中获取有关数据库的信息,如表名、列名等。这些信息可以帮助攻击者进一步利用数据库。
13 WEB漏洞:SQL注入MYSQL注入
qq_52718293的博客
04-29 2094
SQL 是一门 ANSI 的标准计算机语言,用来访问和操作数据库系统-。SQL 语句用于取回和更新数据库中的数据。SQL 可与数据库程序协同工作,比如 MS Access、DB2、Informix、MS SQL Server、Oracle、Sybase 以及其他数据库系统。本来有一些基础知识有在sql注入小总里写,现在还是再提一下: information_schema.tables:记录所有表名信息的表 information_schema.columns:记录所有列名信息的表 table_name:表名
MySQLSQL注入及解决
weixin_47543906的博客
11-23 914
Statement的子接口PreparedStatement PreparedStatement预编译执行者对象 预编译:SQL语句在执行前就已经编译好了,执行速度更快。 安全性更高:没有字符串拼接的SQL语句,所以避免SQL注入的问题 代码的可读性更好,因为没有字符串拼接
小试牛刀:SQL 注入攻击
carol980206的博客
02-24 6万+
小试牛刀:SQL注入攻击一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结 一、检测注入点 首先,在 http://120.203.13.75:6815/?id=1 目标站点页面发现了 ?id,说明可以通过查询 id=1 的内容来获得页面。 这相当于查询语句: select * from [表名] where id = '1'; ...
sql注入讲解ppt.pptx
08-10
3. 时间延迟型 SQL 注入:使用时间延迟来注入 SQL 语句。 4. 布尔盲注:使用布尔逻辑来注入 SQL 语句。 七、SQL 注入常用知识: 1. 注释符:#、--、+ 等符号。 2. 联合查询:使用 UNION keyword 来连接两个查询...
MySQL解决SQL注入的另类方法详解
09-10
MySQL中,防止SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
MySQLSQL 注入
12-16
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到...
PHP+MysqlSQL注入源码 下载
04-25
【PHP+MySQLSQL注入】 在互联网开发中,PHP与MySQL是常见的组合,用于构建动态网站和应用程序。PHP是一种服务器端脚本语言,主要用于Web开发,可以与多种数据库系统配合,其中MySQL是最常用的一种开源关系型...
基于JAVA的厨艺交流平台(Vue.js+SpringBoot+MySQL
08-01
基于Vue.js和SpringBoot的厨艺交流平台是一个功能丰富的在线社区,旨在为烹饪爱好者提供一个分享和学习烹饪技巧的平台。该平台分为管理后台和用户网页端,支持管理员和普通用户两种角色。管理后台提供对菜谱分类、菜谱信息、食材信息、商品信息和美食日志模块的全面管理功能,包括添加、编辑、删除和查询等操作。用户网页端则为用户提供了一个友好的界面,可以浏览和搜索各种菜谱,查看食材和商品信息,发表自己的美食日志,与其他用户互动交流。整个平台采用现代化的前端技术和后端框架,保证了良好的用户体验和高效的数据处理能力。 演示录屏:https://www.bilibili.com/video/BV1uz42197zu 配套教程:https://www.bilibili.com/video/BV1pW4y1P7GR
层次分析法数学建模论文.doc
最新发布
08-01
层次分析法数学建模论文
操作系统原理试卷及参考答案(A).doc
08-01
操作系统原理试卷及参考答案(A)
客户销售额排名.xlsx.xlsx
08-01
销售管理,客户类型,客户满意度,客户登记,进销存,客户记录 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天然玩家

坚持才能做到极致

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值