mybatis sql 如何去注入

最新推荐文章于 2024-06-01 11:30:00 发布
最新推荐文章于 2024-06-01 11:30:00 发布
阅读量2.4k 收藏
点赞数
文章标签: sql注入 mybatis like
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1509214729/article/details/82724993
版权

        网上搜索了很多关于mybatis sql  注入的 出来的基本都是如何防止sql注入,好奇心驱使下,非常想知道如何注入的,研究一番后终于针对like成功了注入了一次。特别说明本次注入是针对mybaits代码中使用了like的语句

先看以下代码 

数据库中有 账号admin 和 密码aaaaaa这样一个账号

假设这个就是登录代码 (在登录时很大概率不会是这样的代码,这里主要是用来说明like)

正确情况下 即便account就输入一个字母a 你不知道密码  也登录不了 

但是通过SQL注入 只需要输入admin 和 任意一个密码 都能登录,如何做到的呢?

OK  下面进入正题

1、首先我们看下正确情况登录成功时,mybatis的执行语句

此时输入的是admin + aaaaaa 注意其中的Parameters 只有一个

2、假如我们输入 admin + 123456

此时是登录失败的,返回账号密码错误 

3、假如我们输入admin%25' or account = '  + 123456

显示登录成功。

为什么呢?

注意这里${account}和#{password}

这里就是利用了mybatis对#进行预编译 但是对$是不进行预编译的  而只是进行sql拼接 所以就造成了sql注入的发生

那如何解决呢  

用 concat('%',#{account}, '%')  代替 '%${account}%'

这样使得还是使用#进行了预编译

所以最后sql这样写 就不会有sql注入了

 

 

 

 

 

有梦想的闲鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
MyBatis源码分析:SQL Mapper
壮小牛的博客
07-08 308
SQL Mapper
mybatis是如何防止SQL注入
suifengerdong_的博客
05-12 156
1、首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHA
使用Mybatis实现登录
m0_67403076的博客
04-28 2143
dao层接口 public interface UserMapper { //登录 ?? ?public Users login(Users users); } UserMapper的xml映射 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mappe
MybatisSQL注入
浩瀚银河
10-16 2405
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
qq_44005305的博客
06-01 634
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
SQL Injection
weixin_42400722的博客
08-22 2203
摘要 以用户或者外部不可信来源的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令。缺陷描述 SQL injection 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 - 在这种情况下, 静态扫描工具无法确定数据源是否可信赖。 2. 数据用于动态地构造一个 SQL 查询。 示例1以下代...
spring如何排除bean的注入
qq_36908783的博客
04-15 4249
文章目录前言常见方法代码示例1、排除指定注解的类-annotation2、排查指定切面的类-aspectj3、排除继承至某接口或类的类-assignable4、排除符合指定匹配规则的类-regex5、叠加进行排除6、排除符合自定义规则的类-custom7、通过BeanDefinitionRegistryPostProcessor进行排除总结 前言 在做项目或写单元测试时,需要对某个特定的bean进行排除,为了方便大家的使用,这里对几种常见的方案进行总结。 常见方法 排除指定注解的类-annotatio
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
详解Mybatis框架SQL注入指南
08-18
Mybatis中,如果不正确地处理用户输入,就可能导致SQL注入Mybatis提供了两种参数符号来防止SQL注入:`#` 和 `$`。`#` 用于预编译(PreparedStatement),它会将参数转换为问号占位符,从而避免了SQL注入。例如...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
MyBatis Mapper中必须使用$导致SQL Injection 如何修复
m0_37607945的博客
12-20 660
如果你的输入是一个复杂对象,你可以使用OGNL(Object-Graph Navigation Language)表达式来访问对象属性,并在访问时进行一些基本的过滤和验证。在将用户输入的数据插入到SQL语句之前,手动转义或替换可能用于SQL注入的特殊字符,如单引号、双引号、分号、注释符号等。在将数据传递给MyBatis之前,确保在后端业务逻辑层进行了充分的验证和过滤,以减少恶意输入到达数据库的可能性。你可以创建一个自定义的MyBatis拦截器或插件,在执行SQL语句之前对所有使用。在这个例子中,我们使用。
深度剖析Mybatis-plus Injector SQL注入
Java是世界上最好的语言
05-18 2384
深度剖析Mybatis-plus Injector SQL注入
复习mybatis-mapper.xml 参数定义以及sql注入的问题
xiaoguaihu12的博客
04-20 1210
mybatis${}与#{}的差别在哪里? 原来在mybatis中如果以${}形式声明为SQL传递参数,mybatis将不会进行参数预处理,会直接动态拼接SQL语句,此时就会存在被注入的风险,所以在使用mybatis作为持久框架时应尽量避免采用${}的形式进行参数传递,如果无法避免(有些SQL如like、in、order by等,程序员可能依旧会选择${}的方式传参),那就需要对传入参数自行进...
利用mybatis框架时,常见的三种sql注入方式
geejkse_seff的博客
08-31 2520
Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。...
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4310
Fortity 安全评测结果及解决方案
[Java安全]—Mybatis注入
Sentiment的博客
09-30 2511
Mybatis注入留在了Spring后,因为感觉用Spring搭建web端后再进行注入比较贴合实际一些。
MyBatis动态SQL详解
热门推荐
SGLP521的博客
11-24 3万+
MyBatis动态SQL
mybatis sql注入
09-12
尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值