MyBatis $和#区别及SQL注入风险

最新推荐文章于 2024-06-01 11:30:00 发布
最新推荐文章于 2024-06-01 11:30:00 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 后端技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotdogzsq/article/details/89451404
版权

MyBatis $和#区别及SQL注入风险

mybatis中$和#参数区别

MyBatis支持两种参数符号,一种是#,另一种是$。
使用参数符号#的句子: SELECT * FROM PERSON WHERE ID = #{id} MyBatis会创建一个预编译语句,生成的代码类似于

 // Similar JDBC code, NOT MyBatis… 
    String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
     PreparedStatement ps = conn.prepareStatement(selectPerson); 
     ps.setInt(1,id);

参数会在SQL语句中用占位符”?”来标识,然后使用prepareStatement来预编译这个SQL语句。 另一种使用参数符号$时,MyBatis直接用字符串拼接把参数和SQL语句拼接在一起,然后执行。众所周知,这种情况非常危险,极容易产生SQL注入漏洞。 在使用MyBatis框架时,有以下场景极易产生SQL注入。 SQL语句中的一些部分,例如order by字段、表名等,是无法使用预编译语句的。这种场景极易产生SQL注入。推荐开发在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。 like参数注入。使用如下SQL语句可防止SQL注入 like concat(’%’,#{title}, ‘%’)。

generator 代码生成工具的SQL注入风险

为了提高开发效率,一些generator工具被开发出来,generator是一个从数据库结构 自动生成实体类、Mapper接口以及对应的XML文件的工具。常见的generator有mybatis-generator,renren-generator等。 mybatis-generator是mybatis官方的一款generator。在mybatis-generator自动生成的SQL语句中,order by使用的是$,也就是简单的字符串拼接,这种情况下极易产生SQL注入。需要开发者特别注意。 不过,mybatis-generator产生的like语句和in语句全部都是用的参数符号#,都是非常安全的实现。

hotdogzsq
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2439
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
mybatis的${}存在的危险sql注入问题
weixin_42765975的博客
11-23 1809
参考文献 什么是sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。 {}与${}的区别: #相当于...
【安全】mybatis#{}和${}导致sql注入问题及解决办法
最新发布
qq_44005305的博客
06-01 638
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
消息摘要算法与密码加密
weixin_48206782的博客
09-13 419
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,应该使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
SQL#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2247
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
Mybatis动态字段排序防注入-简单粗暴上代码的方式
从改变自己开始
12-14 2941
一、Mybatis动态参数说明 参数符号 编译 安全 值 #{} 预编译 安全 ?替换,处理后的值,字符类型都带双引号 ${} 未预编译 不安全,存在SQL注入问题 页面传什么值就是什么值 二、order by 动态参数值说明 1、order by后面使用#{} 是无效的,只能使用${}。如果使用${}是会引起SQL注入的。 三、动态参数校验防止SQL注入 1、查询BO对象定义好排序参数 @ApiModelProper
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
浅谈Mybatis #和$区别以及原理
08-18
这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$号则需要服务器端提供参数,前端可以用参数进行选择,避免SQL注入风险Mybatis对#和$的处理 Mybatis对#和$的处理机制不同。在源码,我们可以...
MyBatis使用$和#所遇到的问题及解决办法
09-01
总结来说,理解并正确使用$和#是使用MyBatis进行动态SQL的关键,同时,要时刻注意SQL注入的安全风险,确保在处理用户输入时采取适当的安全措施。通过遵循最佳实践,可以有效地利用MyBatis的动态SQL功能,同时保持...
编码规范整理
01-02
编码规范整理,养成C#编码好习惯
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2657
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
解决mybatis使用${}时sql注入的问题
qq_37048804的博客
08-14 8299
最近在上线项目的时候,代码审查没有通过,提示有sql注入风险。 ORDER BY ${orderBy} 很简单的一个排序字段,但是因为使用 ${} 占位符的原因,有sql注入风险,相信大家平时也经常会使用这个占位符,不知道有没有考虑sql注入的问题,下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入的问题。 区别 #{}是一个参数占位符,对于String类型会...
MyBatis获取参数值的两种方式#{}和${} 以及 获取参数值的各种情况
weixin_55772633的博客
09-13 1207
SQL 语句使用 #{},MyBatis 会自动将参数值进行预编译处理,防止 SQL 注入攻击,并且可以处理各种类型的参数(如字符串、数字、日期等)。但是#{}使用占位符赋值的方式拼接sql,此时为字符串类型或日期类型的字段进行赋值时,可以自动添加单引号。使用arg或者param都行,要注意的是,arg是从arg0开始的,param是从param1开始的。因此只需要通过${}和#{}访问map集合的键就可以获取相对应的值,注意${}需要手动加单引号。MyBatis获取参数值的两种方式:${}和#{}
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 2703
本节讲述JavaWeb代码审计存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
MyBatis Generator生成的$ sql是否存在注入风险
Reborn_Chang的博客
09-23 3512
代理商sql注入问题排查 经全面排查,代理商sql层使用’$’获取对象的只有一种类型,代码格式如下: <sql id="Example_Where_Clause"> <!-- WARNING - @mbggenerated This element is automatically generated by MyBatis Generator, do not...
Mybatis相关面试题总结
weixiaohuai的博客
04-20 767
一、简介 本文将总结一些关于持久化层框架Mybatis的面试题。 二、面试题 【1】什么是Mybatis? MyBatis是一个可以自定义SQL、动态SQL、存储过程和高级映射的持久层框架。 【2】请谈谈Mybatis的缓存? MyBatis的缓存分为一级缓存和二级缓存,一级缓存放在session里面,默认开启一级缓存;二级缓存存放在它的命名空间,默认是不开启的,需要我们手动开启二级...
Mybatis$与#的区别, $的应用场景
04-23
$将参数直接拼接进SQL,可以重用SQL语句,但有SQL注入风险。 2. #可以自动进行类型转换,$不能自动转换。#会根据目标类型自动转换参数类型,$需要手动进行类型转换。 3. #可以在SQL使用占位符,$不能使用。#...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值