ibatis解决sql注入问题

最新推荐文章于 2022-03-29 14:28:03 发布
最新推荐文章于 2022-03-29 14:28:03 发布
阅读量1.6k 收藏
点赞数
分类专栏: ibatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c466254931/article/details/21635413
版权

 

对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

 3. MSSQL中通过'%'+#param#+'%  

 

如下3种SQL语句:

    mysql: select * from t_user where name like concat('%',#name #,'%') 
    
    oracle: select * from t_user where name like '%'||#name #||'%'
    
    SQL Server:select * from t_user where name like '%'+#name #+'%  

 

 

iBatis解决sql注入

(1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%'

(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

(3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

(4) 这样参数都会经过预编译,就不会发生sql注入问题了。

(5) #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

陈以轩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ibatis动态注入
11-12
ibatis动态注入
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
静态代码审计之SQL注入(java)
一杯咖啡的渗透记忆
03-29 821
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程中,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
iBatis解决sql注入
weixin_30897079的博客
10-31 95
iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%' (3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%' (4) 这样参数...
关于ibatisSQL注入
sun0322
12-13 785
<br />使用'$userId$'很有可能造成SQL注入问题,因为原理是替换里面的内容。<br /> <br />而使用#userId#则不会出现问题,这种方式是预编译,和JDBC中的PreparedStatem差不多,可以避免SQL注入问题
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
ibatis Order By注入问题
coolmsn8786的博客
11-03 161
上周六单位被扫描出SQL注入漏洞 经过检查,发现ibatis框架都可能出现这个问题. 如果有需求,让你实现页面grid所有字段都能排序,你会怎么做呢? 最简单的做法就是从页面把字段名,排序类型传回来,然后拼接在SQL里...
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
ASP.NET MVC+iBatis+SQL
09-11
3. **参数绑定**:在iBatis映射文件中,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatis和SQL来构建一个简单的Web应用程序。...
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
iBATIS-SqlMaps-2_cn.rar_ibatis/spring
最新发布
09-23
SqlMap.xml文件则定义了具体的SQL查询和结果映射,它允许开发者编写灵活的SQL,同时避免了硬编码参数的问题。 在数据库操作方面,iBATIS提供了强大的映射机制,可以将SQL查询的结果自动转换为Java对象,反之亦然。...
ibatisSQL注入,证实了我此前的想法
oswin_jiang的专栏
06-04 4526
在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!sql语句:Sql代码 select *          from (select 1 from poll          dynamic prepend=" where ">    
iBatis解决sql注入问题的方法
天道酬勤
09-08 301
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的   &lt;isNotEmpty prepend="AND" property="name"&gt;       name like #name#   &lt;/isNotEmpty&gt; 但是它跟   &lt;isNotEmpty prepend="AND" property="name"&
ibatisSQL注入
cavalier的学习之路
09-29 958
  SQL注入示范 Sql注入例一     TITLE like '%$title$%' title传入a';drop table account;-- --告诉数据库忽略drop table 之后的字符,即数据库不会报错。 TITLE like '%a';drop table account;--%' Sql注入例二   select * from tbl_schoo...
ibatis SQL注入问题
折翼只为爱
06-03 194
        ibatis中要增加一个排序功能 按照惯性思维增加了这样的代码 &lt;isNotNull prepend="," property="orderColumn"&gt; order by #orderColumn# &lt;/isNotNull&gt; 运行起来不符合预期 检查了生成了原始语句,发现组装成的SQL变成了  order by 'name'...
Ibatis sql注入 注意!!
q445862108的专栏
05-12 114
在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊! sql语句: select * from ( select 1 from poll title like '%$title$%' ...
java ibatis 动态注入_通过ibatis解决sql注入问题
weixin_42138525的博客
02-23 280
于ibaits参数引用可以使用#和两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用写法,则相当于拼接字符串,会出现注入问题。例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用写法就会有问题。对于语句,难免要使用写法就会有问题。对于like语句,难免要使用写法...
iBatisSQL注入问题
lc893572812的专栏
11-03 1324
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值