MyBatis框架下防止SQL注入

最新推荐文章于 2023-05-06 17:29:37 发布
最新推荐文章于 2023-05-06 17:29:37 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: Java 架构 中间件 文章标签: MyBatis SQL注入
Java 同时被 3 个专栏收录
219 篇文章 1 订阅
订阅专栏
架构
100 篇文章 1 订阅
订阅专栏
中间件
97 篇文章 1 订阅
订阅专栏

与传统的ORM框架不同,MyBatis使用XML描述符将对象映射到SQL语句或者存储过程中,这种机制可以让我们更大的灵活度通过SQL来操作数据库对象,因此,我们必须小心这种便利下SQL注入的可能性。

安全用法

<select id="getPerson" parameterType="int" resultType="org.application.vo.Person">
SELECT * FROM PERSON WHERE ID = #{id}
</select>

这是我们推荐的一种用法,注意参数符号#{id},使用#{}语法,MyBatis会通过预编译机制生成PreparedStatement参数,然后在安全的给参数进行赋值操作,因此就避免了SQL注入:

/* Comparable JDBC code */
String selectPerson = "SELECT * FROM PERSON WHERE ID = ?"; 
PreparedStatement ps = conn.prepareStatement(selectPerson); 
ps.setInt(1, id);

更多安全用法示例:

<insert id="insertPerson" parameterType="org.application.vo.Person">
insert into Person (id, name, email, phone)
values (#{id}, #{name}, #{email}, #{phone})
</insert>
 
<update id="updatePerson" parameterType="org.application.vo.Person">
update Person set name = #{name}, email = #{email}, phone = #{phone}
where id = #{id}
</update>
 
 
<delete id="deletePerson" parameterType="int">
delete from Person where id = #{id}
</delete>

不安全用法

<select id="getPerson" parameterType="string" resultType="org.application.vo.Person">
SELECT * FROM PERSON WHERE NAME = #{name} AND PHONE LIKE '${phone}'; 
</select>

首先,这是一种不全的用法,注意上面的参数修符号${phone} ,使用${}参数占位修饰符,MyBatis不会对字符串做任何修改,而是直接插入到SQL语句中。这也就是说MyBatis在对参数进行替换操作时,不会对参数值进行任何修改或者转义操作。

假设,电话号码phone参数由用户进行输入,系统本身未对输入值进行任何校验或者转义,那么潜在攻击者可能通过输入类似:"1%' OR '1'='1"这样的电话号码值,那么用户查询语句就会变成下面的格式:

SELECT * FROM PERSON WHERE NAME = ? and PHONE LIKE '1%' OR '1' = '1'

另外,如果电话号码是这样的值:A%'; DELETE FROM PERSON; --,脚本执行的结果可能就是删除 PERSON 表中的所有记录:

SELECT * FROM PERSON WHERE NAME = ? and PHONE LIKE 'A%'; DELETE FROM PERSON; --'

像上面这种用法,后台直接接收用户输入,而不对输入进行任何校验都是非常危险的,这可能带来潜在的SQL注入攻击,因此,当我们在使用${}语法时,接受参数应不允许用户输入,或者允许用户输入,系统必须对用户输入进行必要的校验和转义。

下面是一些不安全的用法示例

<insert id="insertPerson" parameterType="org.application.vo.Person">
insert into Person (id, name, email, phone)
values (#{id}, #{name}, #{email}, ${phone})
</insert>
 
<update id="updatePerson" parameterType="org.application.vo.Person">
update Person set phone = ${phone}
where id = #{id}
</update>
 
 
<delete id="deletePerson" parameterType="int">
delete from Person where id = ${id}
</delete>

原文链接:
https://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-mybatis

__HelloWorld__
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Mybatis框架SQL防注入指南
08-18
主要介绍了详解Mybatis框架SQL防注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis防止SQL注入的方法
红烧大熊猫的博客
01-06 8224
MyBatis防止SQL注入方法 文章目录MyBatis防止SQL注入方法1. 前言2. 示例3. 不用MyBatis防止SQL注入的方法4. 原理5. 参考链接 1. 前言     这个问题其实就是问MyBatis中的#{}和KaTeX parse error: Expected 'EOF', got '#' at position 19: …号的区别,在MyBatis中,#̲{}是预编译处理, {}是字符串替换。MyBatis在处理#{},会将sql中的#{}替
mybatis 防止sql注入原理
Sam997的博客
01-11 813
mybatis 防止sql注入原理
MyBatis防止sql注入
qq_37634156的博客
04-07 8788
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理,会把参数部分用一个占位符 ? 代替,可以有效的防止sql的注入,面试的候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符则抛出到自定义的异常类B...
mybatis防止sql注入原理
foralllove的博客
01-24 1299
1.什么是sql注入 sql注入解释: 是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句去修改数据信息。 例如:"select * from user where id =" + "参数" ,然后有人而已恶意拼接参数 1;delete from user; select * from user where id =1;delete from user;数据库就被恶意修改了。 2.mybaties防止sql注入用法 mybatis提供两种站位符号 #{}和 ${} ${}...
mybatis防止sql注入的原理
weixin_40773255的博客
05-23 2025
1.什么是sql注入?最早接触sql注入是在大学的候,其实我理解,就是sql 对传入参数的拼接,会引发安全问题,举个例子select  name from student where id = ();   这里括号里的参数我如果传 “3;drop table student;”,就发生注入了。2.原理,怎么防止?发生sql注入的原因是,不安全的参数拼接,编译后,sql执行,如上例子,会出现问题。...
mybatis是如何防止SQL注入
Hanyinh的博客
06-22 1247
mybatis是如何防止SQL注入的 总的来说,SQL注入只对编译过程起作用,而Mybatis中的#{}就是一种预防SQL注入的方式,它不管输入的参数是什么,都用用?代替输入的参数,然后编译其对应的SQL语句,等执行的候,直接使用编译好的SQL,把对应的?替换为输入的参数,从而避免了SQL注入。 ...
java持久层框架mybatis防止sql注入的方法
09-01
下面小编就为大家带来一篇java持久层框架mybatis防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三...2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
mybatis 防止sql注入的原理
蓝一个天的专栏
03-24 4344
mybatis sql java db
MyBatis 如何防止SQL注入 —— 底层原理
demo_yo的博客
03-15 1642
一、SQL注入 SQL注入是在Web页面的查询入口传入SQL非法参数,在事先定义好的查询语句的结尾上添加额外的SQL语句,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器执行,威胁数据库数据信息安全。 二、SQL注入方法 由于编写程序未对用户输入数据的合理性进行判断,导致攻击者能在SQL的注入点中夹杂代码进行执行,并通过页面返回的提示,获取进行下一步攻击所需的信息。根据输入的参数,可将SQL注入方式大致分为两类:数字型注入、字符型注入。 1. 数字型注入 当输入的参数为整型,如ID、年龄、
mybatis如何防止SQL注入
蜻蜓队长
09-11 1190
*** sql注入发生的间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
MybatisPlus是否防止SQL注入
最新发布
wgx_0504的博客
05-06 3565
如果我希望使用mybatisplus同也进行防SQL注入操作,应该怎么处理?
Mybatis如何防止SQL注入的骚操作
编程者说的博客专栏
12-04 1256
SQL注入是一种常见的Web漏洞攻击手段,危害非常严重。攻击者利用漏洞不但可以看到全部数据,更有甚者删库跑路。 一、SQL注入演示 SQL注入,可以利用传入的参数,进行恶意伪造,伪造后的参数最终通过前台传入到后端执行, 1、示例一(查询敏感信息) 比如,我们有一个查询接口,可以查询当前用户的信息, select * from user where id = '1'; 正常执行不会出现...
sql注入
sinat_27450377的博客
10-16 478
${}方式无法防止sql注入; $一般用入传入数据库对象,比如数据库表名; 注意:mybaties排序使用order by 动态参数需要注意,使用${}而不用#{}; mybatis深入理解之 # 与 $ 区别以及 sql 预编译xxxx:{xxxx}:将传入的数据直接显示生成在sql中,对于字符串数据,需要手动加上引号。 #{xxxx}:会给数据加双引号mybatis 在对 sql 语句进
MybatisSQL注入隐患操作复现&防止SQL注入
qq_35614522的博客
07-21 2070
很多人都知道SQL存在SQL注入引起的安全问题,但是很少有开发者去尝试过是怎样一个注入,本文将复现MybatisSQL注入问题并给出正确操作。
mybatis mapper中防sql注入的原理
05-05
MyBatis Mapper 防止 SQL 注入的原理与其他 ORM 框架类似,主要是通过预编译 SQL 语句和参数化查询来实现的。 具体来说,当我们在 Mapper 中书写 SQL 语句MyBatis 会将 SQL 语句进行预编译,即将 SQL 语句中的变量部分用 ? 来代替,然后将这些 ? 替换成实际的参数值,最终生成真正的 SQL 语句。这样可以避免拼接字符串出现的 SQL 注入问题。 例如,以下是一个简单的 Mapper 接口以及对应的 XML 文件: ```java public interface UserMapper { @Select("SELECT * FROM user WHERE name = #{name} AND password = #{password}") User findUserByNameAndPassword(@Param("name") String name, @Param("password") String password); } ``` 在这个例子中,我们使用了 `#{}` 语法来表示需要动态替换的变量,同使用了 `@Param` 注解来指定参数名。在执行 SQL 语句MyBatis 会将 `#{}` 中的变量替换成 ?,最终生成的 SQL 语句如下: ```sql SELECT * FROM user WHERE name = ? AND password = ? ``` 然后,MyBatis 会将实际的参数值填充到 ? 中,这样就能够避免 SQL 注入问题。 需要注意的是,虽然 MyBatis Mapper 通过预编译 SQL 语句和参数化查询可以有效地防止 SQL 注入攻击,但也不能完全依赖于这种机制来保证数据安全。在实际开发中,我们还需要注意其他安全问题,比如用户输入校验、敏感信息加密等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值