myBatis的SQL注入问题

最新推荐文章于 2023-10-23 10:15:42 发布
最新推荐文章于 2023-10-23 10:15:42 发布
阅读量129 收藏
点赞数
分类专栏: mybatis 文章标签: sql注入 like sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihaiming_2008/article/details/84747478
版权

sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。

1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。

2、  错 误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。

3、  错误的使用$一般都出现在 like后面,可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# , $%替换为#||’%。

 综上:

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

 3. MSSQL中通过'%'+#param#+'% 。 

如下3种SQL语句:

?
1
2
3
mysql: select * from t_user where name like concat( '%' ,#name #, '%' )      
oracle: select * from t_user where name like  '%' ||#name #|| '%'      
SQL Server:select * from t_user where name like  '%' +#name #+'%

 

分享到: 2

 

原文地址: http://www.cnblogs.com/ryanchancrj/p/3210227.html
 
 
本文来源于: http://my.oschina.net/ydsakyclguozi/blog/266863
JAVA坚守者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2437
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
mybatis ${} sql注入
心帆唯一的专栏
04-28 8956
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
mybatis #{}与${}的区别与sql注入演示
Kevin的博客
12-30 363
mybatis #{}与${}的区别 使用#会对sql进行预编译,sql中参数将使用?占位。参数不参与sql编译,所以无法改变sql执行意图。 select * from user where id = ? paremter=1 使用$参数可以直接参与sql编译,为sql注入提供可趁之机,即 select * from user where id = 1 使用sqlmap进行sql注入 sqlm...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
漆黑梦工厂
10-23 3208
使用mybatis的时候遇到了#{}和${}可能导致sql注入问题
#和$ 的区别 Statement和PreparedStatement的区别
qq_45243872的博客
11-14 279
Statement -》有SQL注入风险 select * from user where uname=“admin” and pwd=“123456” -》 只要sql语句不一样就会编译一次 select * from user where uname=“admin” and pwd=“123467” -》 只要sql语句不一样就会编译一次 admin 123456 select * from user where uname=“dfa” or “1=1” and pwd=“2321” or “1
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题Mybatis中的sql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
详解Mybatis框架SQL注入指南
08-18
Mybatis框架是一个流行的...总的来说,了解MybatisSQL注入防护机制,并结合代码审查和测试,可以有效地防止这类安全问题的发生。在开发过程中,应始终把安全放在首位,遵循最佳实践,确保应用程序的稳定性和安全性。
MyBatis是如何解决Sql注入
weixin_34376562的博客
07-18 187
转:【转】mybatis如何防止sql注入   java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!! 一、SQL注入   sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的...
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2082
1. 什么是SQL 注入 关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 中最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
mybatis防止sql注入
大河塬
02-20 918
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种
解决mybatis使用${}时sql注入问题
qq_37048804的博客
08-14 8299
最近在上线项目的时候,代码审查没有通过,提示有sql注入的风险。 ORDER BY ${orderBy} 很简单的一个排序字段,但是因为使用 ${} 占位符的原因,有sql注入的风险,相信大家平时也经常会使用这个占位符,不知道有没有考虑sql注入问题,下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入问题。 区别 #{}是一个参数占位符,对于String类型会...
Mybatis中的#{}与${}以及SQL注入问题
calm_encode的博客
09-03 810
一 概述 Mybatis的Mapper.xml中的SQL引用传递过来参数的方式为:#{parameterName}和${parameterName}。 二 #{parameterName}与${parameterName} #{parameterName} #{parameterName}实现的是向prepareStatement中的预处理中设置参数值,sql语句中的#{}表示一个占位符?,当程序给该位置传入实际的数据内容时,该占位符?会被实际的数据内容替换。 #{parameterName.
sqlmap注入使用教程
热门推荐
黑面狐
09-05 8万+
最近在学习SQL注入的东西。自己搭建了一个wavsep靶机,作为练习的对象,之后有空会写一个wavsep的教程。 首先下载安装sqlmap..github传送门:https://github.com/sqlmapproject/sqlmap/releases 一、sqlmap选项   目标:至少要选中一个参数     -u URL, --url=URL   目标为 URL (例如. "ht
sqlmap之(四)----Mysql注入实战
fendo
02-27 5246
(1) 查找数据库 sqlmap.py -u "http://localhost/sqls/index.php?id=123" --dbs 数据库有8个。 (2) 通过第一步的数据库查找表(假如数据库名为test) sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test --ta
mybatis的${}存在的危险sql注入问题
weixin_42765975的博客
11-23 1808
参考文献 什么是sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DBMS 不需要再次编译,越复杂的sql,编译的复杂度将越大,预编译阶段可以合并多次操作为一个操作。 {}与${}的区别: #相当于...
Mybatis是如何实现SQL注入
codeMilk
01-06 1016
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。它的sql语句应该是这样:select * from user where id = 。我们根据传入条件填入id进行...
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句与Java代码解耦的方式。尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都通过参数占位符的方式传递到SQL语句中,而不是直接拼接到SQL语句中。这样可以避免恶意用户输入特殊字符来破坏SQL语句结构。 2. 输入验证和过滤:在接收用户输入之前,对输入进行合法性验证和过滤。可以使用正则表达式、白名单或黑名单等方式来限制输入内容的合法范围,并过滤掉可能造成SQL注入的特殊字符。 3. 使用MyBatis的动态SQL功能:MyBatis提供了动态SQL功能,可以根据不同的条件动态拼接SQL语句。在使用动态SQL时,应该使用MyBatis提供的安全方法来拼接字符串,而不是直接拼接用户输入。 4. 限制数据库权限:为数据库用户设置合适的权限,最小化其对数据库的操作权限。这样即使发生注入攻击,攻击者也只能对具有限制权限的数据进行操作。 5. 定期更新MyBatis版本:及时关注MyBatis的更新和安全公告,及时更新到最新版本,以获取最新的安全修复和功能改进。 总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更新MyBatis版本等多种手段来综合保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值