利用mybatis框架时,常见的三种sql注入方式

最新推荐文章于 2024-07-09 19:10:54 发布
最新推荐文章于 2024-07-09 19:10:54 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: java 文章标签: mybatis sql java hdfs 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geejkse_seff/article/details/126616253
版权

什么是Sql注入

Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。

Mybatis的SQL注入

在java项目中,mybatis的sql语句通常是写在xml文件中。编写xml语句时候,支持两种参数符号,一种是#,一种是KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 4: ,其中#会使用预编译,而是拼接sql。在Mybatis中,sql注入很容易产生于以下三种情况:

1、使用模糊查询

select * from student where name like '%#{张三}%'

上面的sql语句使用了模糊查询,但是这个sql在mybatis中会报错,因为没法对其进行预编译,但是改为$时就正确了,但是这样会造成sql注入的漏洞,因此推荐下面的写法:

select * from student where name like concat('%', #{张三}, '%"}

2、in之后跟多个参数
在in之后的多个查询参数使用#符号时,同样会报错

select * from student where id in (#{ids})

正确写法是利用foreach,而不是将#换成$,如下所示:

select * from student where id in
<foreach collection = "ids" item = "id" open = "(" close = ")" separator = ",">
  #{id}
<foreach>

3、order by之后
这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。

geejkse_seff
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis(学习笔记)
八戒
06-04 1270
目录什么是Mybatis 什么是Mybatis 是一款优秀的 持久层框架 MyBatis 是支持定制化 SQL、存储过程以及高级映射 MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集 MyBatis 可以对配置和原生Map使用简单的 XML 或注解,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。 需要导入的依赖文件 <!-- https://mvnrepository.com/artifac
MyBatis操作数据库(SQL注入
weixin_64308540的博客
03-05 1257
本文主要来讲解6大标签,以便更好的MyBatis操作数据库!
【第24章】MyBatis-Plus之SQL注入
最新发布
zjg
07-09 1399
MyBatis-Plus 提供了灵活的机制来注入自定义的 SQL 方法,这通过全局配置实现。通过实现接口或继承抽象类,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的类中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个类来继承,并重写方法来注册你的自定义方法。
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 787
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
MyBatis 框架SQL 注入攻击的 3 种方式,真是防不胜防!
hnjsjsac的博客
07-01 1698
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。MybatisSQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件,MyB...
MyBatissql注入
qq_62965575的博客
12-19 577
${}和#{}的区别 sql注入 底层 jdbc类型转换 单个简单类型的参数 $ 不防止 Statement 不转换 value # 防止 preparedStatement 转换 任意 结论:除模糊匹配外,杜绝使用${}
MyBatis 1】SQL注入
2401_84046677的博客
04-18 839
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利间:简历模板+Java面试题+热门技术系列教程视频《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!列教程视频[外链图片转存中…(img-PzLybdSI-1713400836427)]
详解Mybatis框架SQL防注入指南
08-18
Mybatis中,有三种常见SQL注入情况: 1. 模糊查询:如`SELECT * FROM NEWS WHERE title LIKE '%#{title}%'`,使用`#`会报错,但直接替换为`$`会导致注入。正确的做法是使用`CONCAT`函数,如`SELECT * FROM NEWS ...
Mybatis防止sql注入的实例
08-30
Mybatis框架提供了一种预编译功能,在sql执行前,会先将sql语句发送给数据库进行编译,执行,直接使用编译好的sql,替换占位符“?”就可以了。这样可以避免sql注入的问题。 Mybatis中的sql语句是一个具有“输入+...
MyBatis框架常见SQL注入
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
07-27 2104
0x00 MyBatis概述&背景 MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它非常灵活,非常轻量级,受到广大开发者的欢迎,各个大厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis常见SQL注入漏洞。 写到一半发现有些概念要在前面说清楚一下,不然容易晕。 MySQL:指MySQL服务...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis防止SQL注入的方法实例详解
08-27
SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解。 为什么 SQL 注入攻击存在 SQL 注入...
MybatisSQL注入
qq_44839209的博客
07-10 232
MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。MybatisSQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 84: …EWS WHERE ID = #̲{id} </select> …
mybatis ${} sql注入
心帆唯一的专栏
04-28 8987
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 2283
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
MyBatisSQL 注入
u010730870的博客
06-11 1169
MyBatisSQL 注入 转载于:https://www.anquanke.com/post/id/190170 MyBatis 是一种持久层框架,介于 JDBC 和 Hibernate 之间。通过 MyBatis 减少了手写 SQL 语句的痛苦,使用者可以灵活使用 SQL 语句,支持高级映射。但是 MyBatis 的推出不是只是为了安全问题,有很多开发认为使用了 MyBatis 就不会存在 SQL 注入了,真的是这样吗?使用了 MyBatis 就不会有 SQL 注入了吗?答案...
MYBATIS SQL注入问题
weixin_43840872的博客
10-27 340
什么是SQL注入? 是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 举个例子 比如用户登录 select * from user where (name = ’ username ') and (pw = ’ password '); username 和 password 字段被恶意填入 username = “1’ OR ‘1’='1”; 与 password = “1’ OR ‘1’='
Mybatis下的sql注入
weixin_30648587的博客
12-07 76
以前只知道mybatis框架下,order by后面接的是列名是不能用#{},这样不起效果,只能用${},这样的话就可能产生sql注入。后来发现其实还有另外两种情况也是类似的: 1.order by ${} asc 像这种情况最好的办法是在java层面上做映射,比如说用户只能输入1-5,然后在代码层面将其映射为字段名,然后再使用${} 2. Select * from news where...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值