【mybatis】使用非预编译${}时,用字符串过滤方案,手动拦截SQL注入

最新推荐文章于 2021-05-24 10:05:11 发布
最新推荐文章于 2021-05-24 10:05:11 发布
阅读量735 收藏 3
点赞数 2
分类专栏: java 细碎知识点 文章标签: 字符串 java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ex_xyz/article/details/114580002
版权

前言

面对部分必须使用${}来输入参数的情况,需要手动进行拦截而不能使用预编译的手段。

主要需要拦截的为String格式的字符串。

参考这篇博文:防止SQL注入的五种方法

原文的方法似乎写的有错误,我重新整理了一下,并且添加了大小写匹配。

我整理了一个方案:

字符串过滤方案

比较通用的一个方法:
这个函数返回值为真时表示出现敏感字符
(||之间的参数可以根据自己程序的需要添加或删除,下文只是举例)


	public static boolean sql_inj(String str){
   
		//常见可能导致误判的字符组
		String inj_str
最低0.47元/天 解锁文章
正半轴
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis如何防止SQL注入
aodaidi6752的博客
09-13 1403
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
java代码审计系统课程
05-06
1、随着三同步要求,代码审计作为三同步中的其中一项,再信息化安全中越来越重要。2、很多安全人员更偏向与渗透,而对代码安全知道甚少。很多开发人员更不懂安全。3、市面上少有的系统性的java代码审计课程。4、学习以后开发不再编写“漏洞”,渗透测试人员更加清晰的了解漏洞原理。5、本课程附件中提供审计源码、审计工具fortify
mybatis是如何防止SQL注入
weixin_30312563的博客
02-01 234
mybatis是如何防止SQL注入的 1、首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where u...
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
Mybatis中#{}与${}的区别以及防止SQL注入的方法
weixin_44689497的博客
03-27 652
Mybatis中#{}与${}的区别 #Mybatis在处理#{},会将SQL中的#{}使用占位符?代替,调用PreparedStatement的set方法进行赋值,真正查询即在DBMS才会带入参数。相当于先编译好SQL语句再取值 ${}则是简单的替换,相当于先取值再编译SQL语句。 存在问题: ${}会导致SQL注入,#{}则不会。 SQL注入:指把用户输入的数据拼接到sql语句后面作为sql语句的一部分执行 解决SQL注入: (1)、JDBC使用 PreparedStatement代替Stateme
mybatis中#{}与${}的差别(如何防止sql注入
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
三,MyBatis动态SQL,缓存和分页插件, Lombok工具
01-05
这种特性使得SQL语句更加灵活,避免了大量的字符串拼接和SQL注入问题。 2. **MyBatis缓存**: MyBatis提供了两级缓存:一级缓存默认存在于SqlSession级别,同一个SqlSession内的多次相同查询会直接从缓存获取结果...
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
通常,这包括审查源代码,找出可能导致SQL注入的地方,比如字符串拼接SQL查询、不安全的数据库库函数使用(如`EXECUTE IMMEDIATE`)或者没有使用预编译的参数化查询(PreparedStatement)。一旦定位到问题代码,应...
MyBatis 官方笔记 + MyBatis 3.5.10 官方英文文档
06-07
- **${}**:原始字符串替换,不安全,可能导致 SQL 注入。 5. **事务管理** - MyBatis 提供了基于 JDBC 的手动事务管理和 Spring 的自动事务管理。 6. **插件(Plugins)** - MyBatis 允许开发者创建自定义插件...
防止sql注入demo
07-12
当用户提交的输入被直接拼接到SQL查询中,攻击者可以构造特定的字符串来操纵查询的逻辑。例如,一个简单的登录表单可能接收用户名和密码,但如果没有进行适当的过滤,攻击者可能输入"admin' OR '1'='1",这将使...
mybatis jar包
最新发布
04-18
- **${}**: 直接替换字符串,不进行预编译,一般用于动态表名或字段名。 6. **结果映射** - **自动映射**: MyBatis可以自动将结果集中列名映射到JavaBean的属性。 - **一对一/一对多映射**: 可以通过`...
Mybatis系列全解(四):全网最全!Mybatis配置文件XML全貌详解
潘潘和他的朋友们
12-08 1891
封面:洛小汐 作者:潘潘 做大事和做小事的难度是一样的。两者都会消耗你的间和精力,所以如果决心做事,就要做大事,要确保你的梦想值得追求,未来的收获可以配得上你的努力。 前言 上一篇文章 《Mybatis系列全解(三):Mybatis简单CRUD使用介绍》 ,我们基本上手了 Mybatis 的增删改查操作,也感受到 Mybatis 的简单高效舒美,但是肯定有部分朋友对于 Mybatis 的配置文件只是了解基本组成和大致用法,尚无一套完整的结构记忆,所以本篇文章我们将详细的介绍 Mybatis 的配.
MyBatis 特殊字符转义拦截器 针对(_、\、%)
zhouzhiwengang的专栏
04-27 4895
一、问题反馈 今天公司测试向我反馈,系统用户模糊查询功能在用户名称包含特殊字符(_、\、%)无法正常查询结果。 二、问题验证 1、当like中包含_,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段中包含有_特殊字符的结果条目 2、like中包括%,与1中相同 3、like中包含\,带入查询,%\%无法查询到包含字段中有\的条目 三、问题解决思路 1、采用MyBatis 拦截器机制,处理模糊查询中包含特殊字符(_、\、%) 四、核心
[javaee高级] Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么?
webot123456的博客
05-24 237
Mybatis 如何防止 sql 注入?mybatis 拦截器了解过吗,应用场景是什么? 答案:mybatis使用#{}经过预编译的,是安全的,防止sql注入Mybatis拦截器只能拦截四种类型的接口:Executor、StatementHandler、 ParameterHandler和ResultSetHandler。这是在Mybatis的Configuration中写死了的, 如果要支持拦截其他接口就需要我们重写 Mybatis 的 Configuration。Mybatis 可以对这四 个接口中
mybatis 拦截器(实现简单多租户 + 整合 mybatis plus 不影响分页插件 )
@chenk的博客
05-14 4202
一。 Mybatis拦截器并不是每个对象里面的方法都可以被拦截的。Mybatis拦截器只能拦截Executor、ParameterHandler、StatementHandler、ResultSetHandler四个对象里面的方法。 对象 作用 Executor Executor对象在创建Configuration对象的候创建,并且缓存在Configuration对象里。 Executor对象的主要功能是调用StatementHandler访问数据库,并将查询结果存入缓存
java mybatis拦截配置_mybatis运行拦截ParameterHandler注入参数
weixin_33660045的博客
02-16 1193
在实现多租户系统,每个租户下的用户,角色,权限,菜单都是独立的,每张表里都有租户Id字段 (tenantId),每次做数据库操作的候都需要带上这个字段,很烦。现在的需求就是在mybatissql设置参数拦截,获取当前登录用户的tenantId,若参数的集合中没有 tenantId,将当前登录用户的tenantId 放到 sql参数的集合中,这样就不必在业务代码中关心租户信息了。具体的做法就...
JAVA-字符串裁剪(从文件路径获取文件名)-substring
ex_xyz的博客
09-22 5126
今天开发项目正好需要从文件路径中截取一段作为文件名,就学习了一下。 用substring为核心从文件路径字符串里提取文件名 其中截取点用函数lastIndex获取
MyBatis面试题的PDF-持续更新
12-04
而`${}`则进行简单的字符串替换,直接将变量值插入到SQL语句中,不进行预编译,存在SQL注入的风险。 MyBatis实现分页的方法有多种。一种是在SQL语句中直接使用数据库支持的分页关键字,如`LIMIT`,配合应用程序传递...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值