mybatis LIKE 查询时 $、# sql注入问题分析

已于 2024-04-11 10:26:54 修改
阅读量471 收藏 1
点赞数 10
分类专栏: sql注入 文章标签: mybatis sql 数据库 java-ee spring boot
于 2024-04-11 10:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heshiyuan1406146854/article/details/137628445
版权

先说结论:

1. 存在 sql 注入安全问题:

SELECT 
	fd_userid,
	fd_nickname 
FROM 
	tb_user 
WHERE  
	fd_nickname LIKE '%${value}%'

2. 不存在 sql 注入安全问题:

SELECT 
	fd_userid,fd_nickname 
FROM 
	tb_user 
WHERE  
	fd_nickname LIKE  CONCAT( '%',#{value},'%' )

因为 $ 就是最简单的拼接嘛,原本是啥就给直接拼接在一起,比如 value 如果如下所示:

xxx' UNION  SELECT fd_userid,fd_nickname FROM tb_user WHERE  fd_nickname LIKE '泰戈尔

则拼接以后得完整 sql 如下:

SELECT 
	fd_userid,
	fd_nickname 
FROM 
	tb_user 
WHERE  
	fd_nickname LIKE '%xxx' 
UNION  
SELECT 
	fd_userid,
	fd_nickname 
FROM 
	tb_user 
WHERE  
	fd_nickname LIKE '泰戈尔%'

很显然查询结果已经不如预期了,查询结果如下:

在 springboot + mybatis 工程中完整测试:

TestController.java:
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiImplicitParam;
import io.swagger.annotations.ApiImplicitParams;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.*;
import org.springframework.web.multipart.MultipartFile;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;
import java.util.Map;

@Api(value = "TestController",description="TestController")
@RestController
@Slf4j
@RequestMapping("/test")
public class TestController {

    @Autowired
    private ITbUserService userService;

    @ApiOperation(value = "queryUserListByNicknameLikeQuery_notSafe")
    @GetMapping( "/queryUserListByNicknameLikeQuery_notSafe" )
    public ResponseEntity queryUserListByNicknameLikeQuery_notSafe(@RequestParam("value") String value)  {
        try {
            List<TbUser> users = this.userService.queryUserListByNicknameLikeQuery_notSafe( value );
            return ResponseEntity.success( users );
        }catch ( BusinessLogicException e ){
            return ResponseEntity.serverError( e.getMessage() );
        }catch ( Exception e ){
            log.error( CommonConstant.EXCEPTION_PREFIX,e );
            return ResponseEntity.serverError( "查询失败,服务器错误" );
        }
    }

    @ApiOperation(value = "queryUserListByNicknameLikeQuery_safe")
    @GetMapping( "/queryUserListByNicknameLikeQuery_safe" )
    public ResponseEntity queryUserListByNicknameLikeQuery_safe(@RequestParam("value") String value)  {
        try {
            List<TbUser> users = this.userService.queryUserListByNicknameLikeQuery_safe( value );
            return ResponseEntity.success( users );
        }catch ( BusinessLogicException e ){
            return ResponseEntity.serverError( e.getMessage() );
        }catch ( Exception e ){
            log.error( CommonConstant.EXCEPTION_PREFIX,e );
            return ResponseEntity.serverError( "查询失败,服务器错误" );
        }
    }
}

ITbUserService.java:
import org.springframework.web.multipart.MultipartFile;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.File;
import java.text.ParseException;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

public interface ITbUserService extends IService<TbUser> {

    List<TbUser> queryUserListByNicknameLikeQuery_notSafe(String value);
    List<TbUser> queryUserListByNicknameLikeQuery_safe(String value);
}


TbUserServiceImpl.java:


import cn.hutool.core.util.ZipUtil;
import cn.hutool.poi.excel.ExcelReader;
import cn.hutool.poi.excel.ExcelUtil;
import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.collections.CollectionUtils;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Propagation;
import org.springframework.transaction.annotation.Transactional;
import org.springframework.web.multipart.MultipartFile;
import sun.misc.BASE64Encoder;

import javax.imageio.ImageIO;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.awt.*;
import java.awt.image.BufferedImage;
import java.io.*;
import java.math.BigDecimal;
import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.time.LocalDate;
import java.time.LocalDateTime;
import java.time.ZoneId;
import java.time.ZonedDateTime;
import java.time.format.DateTimeFormatter;
import java.util.*;
import java.util.List;
import java.util.stream.Collectors;


@Service
@Slf4j
public class TbUserServiceImpl extends ServiceImpl<TbUserMapper, TbUser> implements ITbUserService {
    
    @Autowired
    TbUserMapper userMapper;


    @Override
    public List<TbUser> queryUserListByNicknameLikeQuery_notSafe(String value) {
        return this.userMapper.queryUserListByNicknameLikeQuery_notSafe( value );
    }
    @Override
    public List<TbUser> queryUserListByNicknameLikeQuery_safe(String value) {
        return this.userMapper.queryUserListByNicknameLikeQuery_safe( value );
    }
}

TbUserMapper.java:
import org.apache.ibatis.annotations.Param;
import java.util.Collection;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

@DataSource("dataSource")
public interface TbUserMapper extends BaseMapper<TbUser> {

    List<TbUser> queryUserListByNicknameLikeQuery_notSafe(@Param( "value" ) String value);
    List<TbUser> queryUserListByNicknameLikeQuery_safe(@Param( "value" ) String value);
}

TbUserMapper.xml:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.xxx.mapper.TbUserMapper">
    <select id="queryUserListByNicknameLikeQuery_notSafe" resultType="com.xxx.xxx.xxx.entity.TbUser">
        SELECT fd_userid,fd_nickname FROM tb_user WHERE  fd_nickname LIKE '%${value}%'
    </select>

    <select id="queryUserListByNicknameLikeQuery_safe" resultType="com.xxx.xxx.xxx.entity.TbUser">
        SELECT fd_userid,fd_nickname FROM tb_user WHERE  fd_nickname LIKE  CONCAT( '%',#{value},'%' )
    </select>
</mapper>

然后 value 传递 xxx' UNION  SELECT fd_userid,fd_nickname FROM tb_user WHERE  fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试

狄龙疤
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理入数据的方式上有所不同,同也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
详解Mybatis框架SQL防注入指南
08-18
Mybatis框架是一个流行的...总的来说,了解MybatisSQL注入防护机制,并结合代码审查和测试,可以有效地防止这类安全问题的发生。在开发过程中,应始终把安全放在首位,遵循最佳实践,确保应用程序的稳定性和安全性。
mybatis中的like查询,$取值sql注入和通配符注入,#取值防通配符注入
luoyong at csdn
12-11 8899
mybatis中用like查询,如果用户输入的值有"_"和“%”,则会出现这种情况: 用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcde"等等,用户要查询"30%"(注:百分之三十)也会出现问题。 测试后发现不管你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值还存在sql注入问题。 为了解决这些问
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
mybatis的模糊查询like报sql注入问题
dhklsl的专栏
07-19 2181
mybatis模块查询sql注入问题
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
最新发布
weixin_65492194的博客
10-01 1092
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2109
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3069
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
Mybatis模糊查询和动态sql语句的用法
08-26
这种方法可以实现更加灵活的模糊查询,並且可以防止SQL注入。 三、多条件查询 在实际应用中,我们经常需要实现多条件查询,例如根据员工姓名和性别来查询员工信息。在Mybatis中,我们可以使用if标签和where标签来...
MyBatis 动态拼接Sql字符串的问题
09-01
此外,这种方式还有助于防止SQL注入,因为MyBatis会自动处理参数绑定,确保安全性。总之,MyBatis的动态SQL功能使得开发人员能够更高效、更安全地处理复杂的数据库操作,提高了开发效率和代码质量。
利用MyBatis进行不同条件的like模糊查询的方法
08-27
MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
MyBatis单表查询——参数占位符${}和#{}、SQL注入、like查询
LYJbao的博客
03-25 2162
目录前言: 1、参数占位符:${}和#{}2、SQL注入 3、${}的优点小结:$ VS #:4、like查询 解决方案,使用MySQL的内置函数concat()来处理 以下文章,对于没有接触过Mybatis的小伙伴来说,需要看完这篇文章才可以继续向下执行:http://t.csdn.cn/nGTFZ其次,我们为了更好地观察出现的问题,可以在配置文件中,配置打印MyBatis的执行SQL: 1、参数占位符:${}和#{} 我们在mapper的.xml文件中,进行数据库SQL语句编
SQL注入
qq_31088019的博客
08-04 1803
sql注入
利用mybatis框架,常见的三种sql注入方式
geejkse_seff的博客
08-31 2522
Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。...
Mybatis中Like 的使用方式以及一些注意点
星 ~ 程 @的博客
10-12 1006
做一个积极的人 编码、改bug、提升自己 我有一个乐园,面向编程,春暖花开! 文章目录 初始数据 方式一 方式二 方式三 小注意 小总结 模糊查询在项目中还是经常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题。 初始数据 方式一 在Mybatis中的第一种写法: <!--有sql注入问题--> <select id="findUserByLikeName1" parameterType...
Mybatis预防SQL注入之like模糊查询整理
qq_34868715的博客
09-11 6875
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 ‘#’与 ‘$’ 的区别最大在于:#{} 入值sql解析...
SQL中,like的SQL注入防止,使用预编译SQL(?)的写法
sun0322
07-09 4562
mysql数据库 and indexNum like concat('%',?,'%')"
Sql注入详解(原理篇)
Naive的博客
09-11 9303
SQL 注入漏洞非常复杂,区分各种数据库类型,提交方法,数据类型等注入,同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
关于mybatis中llike模糊查询中#和$的使用
热门推荐
长河的博客
10-14 14万+
mybatis中经常要写到like 查询,以前从来没有遇到什么问题,突然遇到一个问题,找了好长间没找到,最后找到了,是关于#和$的使用的,总结如下: name like 表达式 and falg=#{falg} 本次示例中共两个条件,一个是name like 表达式, 还有flag相等,这个是使用#{}占位符,没有任何问题,关键问题就是 表达式的书写.下面来研究下表达式的...
Mybatis模糊查询用#和$什么区别
03-28
Mybatis模糊查询可以使用LIKE关键字来实现。在SQL语句中使用LIKE关键字可以做到模糊匹配,比如在查询名字中包含“张”的用户,可以使用如下语句: SELECT * FROM users WHERE name LIKE '%张%' 其中%表示通配符,表示匹配任意字符,所以'%张%'可以匹配任意包含“张”的名字。在Mybatis的Mapper文件中,可以使用${}或#{}来查询参数,例如: SELECT * FROM users WHERE name LIKE '%${name}%' 其中${name}表示入的查询参数,使用%进行模糊匹配。需要注意的是使用${}入参数,需要注意SQL注入问题。建议使用#{}入参数并使用预编译语句来避免SQL注入问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值