ibatis SQL注入问题

最新推荐文章于 2018-01-30 17:19:00 发布
最新推荐文章于 2018-01-30 17:19:00 发布
阅读量194 收藏 1
点赞数
分类专栏: MySQL 文章标签: ibatis SQL注入

       

ibatis中要增加一个排序功能

按照惯性思维增加了这样的代码

<isNotNull prepend="," property="orderColumn">
    order by #orderColumn#
</isNotNull>

运行起来不符合预期

检查了生成了原始语句,发现组装成的SQL变成了 

order by 'name'

在orderColumn参数前后加上了引号,所以会不成功。

如果改成 order by $orderColumn$ 的话,因为$符表示的是拼接字符串,所以就变成了order by name,这样执行是没有问题的,但是可能会形成sql注入漏洞,因为order by 后的传入参数可能为

orderColumn,(select if(substring(user(),1,2)='xx',sleep(4),-1)) 这个执行的效果为当数据库用户名为的前两位为xx时,挂起4秒(这个挂起是每条挂起4秒,也就是说如果有5条记录,那么会挂起20秒)。这样可能会被黑客攻击。

 

改进方法基本就两种,一种是在ibatis的xml中配置条件判断,比如参数为1时排序字段为A,为2时排序字段为B。

<isNotNull property="model.orderType" >
                <isEqual property="model.orderType" compareValue="0" prepend="ORDER BY" removeFirstPrepend="true">
                    BEGIN_TIME DESC
                </isEqual>
                <isEqual property="model.orderType" compareValue="1" prepend="ORDER BY" removeFirstPrepend="true">
                    APPLY_BEGIN_TIME DESC
                </isEqual>
</isNotNull>

 还一种就是在DAO层判断,判断传入的参数值,比如可以用正则表达式判断参数值是否为大小写字母+下划线。

iteye_6967
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
iBatis解决sql注入问题的方法
czw698的专栏
09-28 1127
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的            name like #name#      但是它跟            name = #name#    没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:         name like '%$name$%' 但这时会导致sql注入
iBatisSQL注入
weixin_30349597的博客
07-24 80
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但...
ibatisSQL注入
cavalier的学习之路
09-29 925
  SQL注入示范 Sql注入例一     TITLE like '%$title$%' title传入a';drop table account;-- --告诉数据库忽略drop table 之后的字符,即数据库不会报错。 TITLE like '%a';drop table account;--%' Sql注入例二   select * from tbl_schoo...
ibatis sql注入
gddghs
02-08 357
转自:http://blog.csdn.net/scorpio3k/article/details/7610973 对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如:1)#xxx# 代表xxx是属性值、map里面的key或者是你的pojo对象里面的属性, ib
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
iBATIS实战
11-13
4.2.3 SQL注入简介 72 4.2.4 自动结果映射 73 4.2.5 联结相关数据 74 4.3 映射参数 75 4.3.1 外部参数映射 75 4.3.2 再论内联参数映射 76 4.3.3 基本类型参数 78 4.3.4 JavaBean参数和Map参数 78 4.4 使用内联结果...
iBATIS模糊查询
07-23
1. 防止SQL注入攻击:在使用iBATIS进行模糊查询时,需要确保参数的安全性,以防止SQL注入攻击。例如,以下代码是错误的: ```sql SELECT * FROM t_stu WHERE s_name LIKE '%$name$%' ``` 这种代码容易受到SQL注入...
SQL.预编译.docx
12-11
SQL预编译 ibatis中如何解决sql注入问题,资料参考
ibatis动态注入
11-12
ibatis动态注入
ibatissql注入
各研发管理
04-03 165
今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对or...
ibatis Order By注入问题
weixin_34162228的博客
01-30 373
上周六单位被扫描出SQL注入漏洞 经过检查,发现ibatis框架都可能出现这个问题.如果有需求,让你实现页面grid所有字段都能排序,你会怎么做呢? 最简单的做法就是从页面把字段名,排序类型传回来,然后拼接在SQL里面.(在使用EasyUI前端框架的时候,这样做非常容易) 然后修改ibatis框架,将order by #排序字段# #排序类型#改为 order by $排序字段$ $排序类型$ ...
iBatis解决sql注入
Hello World
04-28 1028
http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:na
关于ibatisSQL注入
sun0322
12-13 780
<br />使用'$userId$'很有可能造成SQL注入问题,因为原理是替换里面的内容。<br /> <br />而使用#userId#则不会出现问题,这种方式是预编译,和JDBC中的PreparedStatem差不多,可以避免SQL注入问题
ibatisSQL注入,证实了我此前的想法
oswin_jiang的专栏
06-04 4520
在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!sql语句:Sql代码 select *          from (select 1 from poll          dynamic prepend=" where ">    
ibatis like查询防sql注入
caoliangbo的博客
09-07 208
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。 下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name#,'%')  oracle: select * from stu where name like '%'||#name#||'%' SQL Server:...
ibatis sql语句输出
最新发布
07-28
#会将传入的数据加上引号,可以避免SQL注入问题,通常用于传递参数值。而$会直接将传入的数据放入SQL语句中,适用于一些特殊情况,比如在orderby后面或者where xx in ()的括号里等。\[3\] #### 引用[.reference_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值