mybatis模糊查询应先处理好参数,再进行查询,防止sql注入

最新推荐文章于 2024-07-19 17:34:15 发布
最新推荐文章于 2024-07-19 17:34:15 发布
阅读量357 收藏
点赞数 3
分类专栏: Java基础 文章标签: mybatis sql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bujingya/article/details/138134283
版权

mybatis模糊查询防止sql注入

在sql里面处理(可能产生sql注入)

模糊查询的关键词like ,在查询输入的字符串前后加上%
例如:

SELECT * FROM User WHERE name LIKE CONCAT('%', #{name}, '%');

当name传入的值为' OR '1'='1' OR '

SELECT * FROM User WHERE name LIKE '%' OR '1'='1' OR '%'

就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。

先进行参数处理,再运行sql

String searchKeyword = "%" + userInput + "%";
User user = userMapper.getUserByKeyword(searchKeyword);


<select id="getUserByKeyword" parameterType="string" resultType="User">
    SELECT * FROM User
    WHERE name LIKE #{keyword}
</select>

在进行参数处理后,上面例子运行的sql就变成

SELECT * FROM User WHERE name LIKE '% OR ''1''=''1'' or %'

在Mysql中会对 ''来转义单引号,确保它被正确地视为字符串的一部分,而不会被误解为 SQL 语句的一部分。

为了防止 SQL 注入攻击,最好的做法是使用参数化查询 ,而不是直接将用户输入的内容拼接到 SQL 查询语句中。

初雅的程序人生
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发中,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
MyBatis中的模糊查询语句
08-31
虽然MyBatis能自动处理参数绑定,但使用`%${value}%`的方式仍然存在SQL注入的风险,因为用户可以直接输入`%`字符。为了提高安全性,可以使用MyBatis的`#{}`语法,它会将参数值转义并用单引号包围,如`LIKE '%' || #{...
mybaits的模糊查询_mybatis模糊查询防止SQL注入(很详细)
weixin_32761653的博客
12-24 466
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可...
Mybatis02:万能的map 和 模糊查询防止sql注入
lenard-lhz的博客
04-02 214
使用map处理参数问题。“%” “%”防止sql注入问题。
MyBatis 模糊查询 防止Sql注入
04-08 205
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: ...
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 855
mybatis模糊查询防止sql注入
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
mybatis 模糊查询的实现方法
12-16
这种方式能够有效地防止SQL注入攻击,因为数据库会预先处理这些参数,不会执行任何未预期的代码。 2. `$`:与`#`相反,`$`会将参数直接拼接到SQL字符串中,称为Statement方式。例如,`order by $user_id$`,如果...
PostgreSQL 中如何解决因大量并发删除和插入操作导致的索引抖动?
技术笔记
07-17 835
索引抖动是 PostgreSQL 中一个常见的问题,它会对数据库的性能产生严重的影响。通过采用批量操作、分区表、索引优化和调整数据库参数等方法,我们可以有效地解决索引抖动问题,提高数据库的性能和稳定性。在实际应用中,我们应该根据具体情况选择合适的解决方案,并不断地进行优化和调整,以满足业务的需求。解决索引抖动问题就像是一场战斗,我们需要根据敌人(问题)的特点和弱点,选择合适的武器(解决方案),并灵活运用战术(优化方法),才能取得最终的胜利。
PostgreSQL异常:An I/O error occurred while sending to the backend
IT后浪的博客
07-19 265
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
SQL Server设置定时作业调度Schedule
Cachel Wood的博客
07-15 392
在“步骤”选项卡中,单击“新建”按钮,然后输入步骤的名称和描述。在“计划”选项卡中,单击“新建”按钮来创建一个新的计划。代理将在指定的时间和频率下运行作业,并执行您定义的。右键单击“作业”文件夹,然后选择“新建作业”。在“作业属性”对话框中,输入作业的名称和描述。代理的功能,可以用来设置定时作业。在“命令”文本框中,输入要定期执行的。现在,您已经成功设置了一个定时作业。连接到要设置定时作业的数据库实例。设置每天早上八点执行这个定时任务。在对象资源管理器中,展开“
SQL执行流程、SQL执行计划、SQL优化
最新发布
风中的默默
07-19 166
返回两个表中的匹配行。返回左表中的所有记录以及右表中的匹配记录。返回右表中的所有记录以及左表中的匹配记录。返回左侧或右侧表中有匹配的所有记录。
MySQL】根据binlog日志获取回滚sql的一个开发思路
weixin_45385457的博客
07-19 251
不同客户端之间会交替追加在 binlog 中,需要通过 👆的 binlog 匹配流程来控制匹配。行,需要再次寻找 thread_id 相同的行,匹配到后执行上一个流程。在 binlog 中的线程 ID 记录为 thread_id。一个线程执行多个 sql 回滚到同一个文件可能带来的问题。对应 binlog 日志中的 thread_id=指定 mysql 客户端 开始时间和结束时间。打开 mysql 客户端 开始时间。关闭 mysql 客户端 结束时间。先匹配 thread_id 相同的。
SQL Server详细使用教程(包含启动SQL server服务、建立数据库、建表的详细操作) 非常适合初学者
hackeroink的博客
07-15 1073
本文主要详细介绍SQL server2019的简单使用,以《数据库系统概论(第5版)》的第79页—第80页为例,详细介绍如何使用SQL server2019这款数据库软件,包括启动SQL server服务,建立数据库(学生—课程模式S-T),建立课程表等,内容比较简单,容易理解,适合广大初学者了解SQL server的简单使用。不会涉及到复杂的语法知识,如果有也会详细解释的!下文标红的字请重点关注一下!本文的需要建表的数据如下:2.Course课程号Cno课程名Cname先行课Cpno学分。
NoSql选择题解
2301_79659699的博客
07-16 631
5. (单选题, 3分)MongoDB是一种NoSQL数据库,具体地说,是( )存储数据库。13. (单选题, 3分)CAP理论是NoSQL理论的基础,下列性质不属于CAP的是( )。7. (单选题, 3分)CAP理论是NoSQL理论的基础,下列性质不属于CAP的是( )。11. (单选题, 3分)下列关于NoSQL数据库和关系型数据库的比较,不正确的是( )。8. (单选题, 3分)于NoSQL数据库和关系数据库,下列说法不正确的是( )。6. (单选题, 3分)NoSQL数据库是指( )数据存储系统。
PostgreSQL 中如何解决因大量并发插入导致的主键冲突?
技术笔记
07-16 980
在 PostgreSQL 中,解决因大量并发插入导致的主键冲突问题是一个重要的任务。我们可以通过使用唯一索引、序列、批量插入与事务处理、分区表和优化业务逻辑等方法来避免主键冲突的发生。这些方法各有优缺点,我们需要根据实际情况选择合适的解决方案。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
怎样在 PostgreSQL 中实现数据的异地备份?
技术笔记
07-19 862
总而言之,在 PostgreSQL 中实现数据的异地备份不是一件难事,但也需要我们认真对待,精心规划。选择合适的备份方法和异地存储方式,制定合理的备份策略,定期进行测试和恢复演练,才能确保我们的数据在任何情况下都能“安然无恙”。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏🍅CSDN社区-墨松科技。
mybatis模糊查询参数
07-28
Mybatis中有两种常用的模糊查询参数的方法。第一种方法是使用like concat函数,它可以通过连接字符串的方式实现模糊查询。具体使用方式如下:在SQL语句中使用concat函数连接三个参数,分别是通配符%,传入的参数,和再次使用通配符%。例如: ``` <if test="blockPushLog.blockName!=null and blockPushLog.blockName!=''"> and b.BLOCK_NAME like CONCAT('%',#{blockPushLog.blockName},'%') </if> ``` 这种方法的缺点是在某些数据库中可能不支持多个参数,而且存在SQL注入的风险。 第二种方法是使用bind函数,它可以将模糊查询的关键字放在mapper文件中,只将需要匹配的关键字作为参数传入。具体使用方式如下:在SQL语句中使用bind函数定义一个自定义名称和传入的参数,然后在like语句中使用这个自定义名称。例如: ``` <if test="blockPushLog.blockSearch!=null and blockPushLog.blockSearch!=''"> <bind name="blockNameLike" value="'%'+blockPushLog.blockSearch+'%'"/> and b.BLOCK_NAME like #{blockNameLike} </if> ``` 这种方法的优点是兼容性强,可以预防SQL注入,因此更安全。 综上所述,第二种方法更推荐使用,因为它更具有兼容性和安全性。同时,第二种方法也更加方便,可以将匹配符放在mapper文件中,提高代码的可读性和维护性。 #### 引用[.reference_title] - *1* *2* [mybatis模糊查询方法](https://blog.csdn.net/u013013790/article/details/122052896)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【SSM】09-Mybatis实现模糊查询的两种方法](https://blog.csdn.net/m0_50964976/article/details/122509148)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

初雅的程序人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值