使用mybatis时防止sql注入

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量243 收藏
点赞数
文章标签: java 后端 前端 ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liushuiwuyan/article/details/84903486
版权
[size=large][b]一.where条件 like 注入[/b]
错误代码示例:select id,name from user where name like '${name}%'
注入方式1:在文本框直接把name对应的值写为%,那后端sql直接变为select id,name from user where name ‘%%’将把所有数据给查出来。
注入方式2:将错误示例代码改为select id,name from user where name like '${name}%’and id=1在文本框直接把name对应的值写为%' or '1'='1,那后端sql直接变为select id,name from user where name ‘%%’将把所有数据给查出来。
解决办法:将sql改为[/size] 
select id,name from user where name like CONCAT(#{name},'%’)或select id,name from user where name like #{name}||’%’
[size=large],但这样仅能避免注入方式2的漏洞,还需要判断name是否为空或是否包含%,如果不包含再走like 语句。

[b]二、in 条件注入[/b]
错误代码示例:select id,name from user where id in (${ids})
注入方式:直接把ids设置为1) or (1=1即可完成注入,sql将变为select id,name from user where id in (1) or (1=1),将查出全部数据
解决办法:将sql改为通过foreach结构,如:[/size] 
select id,name from user
  <where>  
    id in  
    <foreach item="item" collection="list" separator="," open="(" close=")" index="">  
      #{item.id, jdbcType=NUMERIC}  
    </foreach>  
  </where>

[size=large]
[b]三、列名、表名、order by 注入[/b]
这几种只能使用${param}这种格式的,经过测试及资料查阅暂时没有好的解决办法,建议在写的时候尽量避免
用$形式的动态变量,如表不多的话,可以复制几个一样的sql把表名换下,对于分表的,需要对动态变量进行校验及匹配,
列名、order by 后面的列名同样。另外避免在前端页面可传入这些数据。
这几类sql注入方式如下:
1.列名注入方式:select ${column} name from user,将column赋值为 (select sleep(5)) ,sql则变为select (select sleep(5)) from user;或已知其他列名,将column改为pwd,sql则变为 select pwd name from user;
2.表名注入:select name,age from ${table} ,将column赋值为(select pwd name,prex age from dept) b,则sql变为select name,age from (select pwd name,prex age from dept) b,用另外已知的表伪装成正常表返回数据。
[b]四、${}存在sql注入风险[/b]
能用#{}的尽量用这个,正常where 条件中禁止使用${}。[/size]
liushuiwuyan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis是这样防止sql注入
KHOST的博客
01-12 418
Mybatis这个框架在日常开发中用的很多,比如面试中经常有一个问题:$和#的区别,它们的区别是使用#可以防止SQL注入,今天就来看一下它是如何实现SQL注入的。 什么是SQL注入 在讨论怎么实现之前,首先了解一下什么是SQL注入,我们有一个简单的查询操作:根据id查询一个用户信息。 它的sql语句应该是这样:select * from user where id =。 ...
MyBatis如何防SQL注入
LAKERSAI的博客
08-15 398
MyBatis如何防SQL注入: 这一节来讲下MyBatis的防SQL注入SQL注入大多数也会比较清楚,就是SQL参数对应的字段值插入混合SQL,如 ** username = or 1= 1** 这种,如果有更恶劣的,带上drop database 这种都是有可能的,所以一般SQL都会进行一定防注入处理,MyBatis其实用法大都清楚,就是**#{paras}和${paras}**两种...
SQL注入sleep()函数相关解决方案
一杯咖啡的渗透记忆
08-14 6702
最近做安全扫描的候,经常遇到sleep()型的SQL注入,这个是request发送后会产生一个timeout的delay,没有respond。 跟我之前遇到的一般意思SQL注入不一样,之前的是SQL语句拼接产生的注入,会通过注入点抓到数据库。 这个相当于一种DDOS攻击,向数据库不停的发送request,不会很快释放连接,连接池会慢,导致数据库不响应。   解决方案:    在MY...
MyBatis怎么防止sql注入
m0_62381101的博客
09-22 4314
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
mybatis 不允许$_MyBatis(一):配置文件
weixin_39526741的博客
01-12 303
一:mybatis流程图二:mybatis配置文件详解(读取Mybatis的内部核心文件并加载映射文件)1 mybatis-config.xml为MyBatis的全局配置文件,用于配置数据库连接、属性、类型别名、类型处理器、插件、环境配置、映射器(mapper.xml)等信息。1.2 映射文件其实是在mybatis-config.xml里配置的。(1)映射文件即SQL映射文件,该文件中配置了操作数...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis系列:Mybatis中 $ 和 # 千万不要乱用!
Mr_chen的博客
05-21 1万+
这是一次代码优化过程中发现的问题,在功能优化后发现部分数据查不到出来了,问题就在于一条sql上的#和$。 从图上可以看出 wwlr.LabelId in(KaTeX parse error: Expected 'EOF', got '#' at position 33: …wlr.LabelId in(#̲{showLabels}),其…处理的方式是不一样的。 区别 #{ }是预编译处理,M...
mybatis如何防止SQL注入
01-05
#### MyBatis防止SQL注入的方法 ##### 1. 使用预编译语句(PreparedStatement) MyBatis内部使用了JDBC的PreparedStatement来实现SQL语句的预编译。这种方式可以有效防止SQL注入。具体做法是在SQL语句中使用`#{}`来...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 通过使用预编译语句和存储过程来防止 SQL 注入攻击。例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍
06-09
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.详情介绍Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,...
MyBatis 排序防止sql注入
tony_java_2017的博客
11-13 1万+
MyBatis的排序 引言     最近在项目开发中遇到一个问题,项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患,查看安全报告说是有一个接口中存在SQL注入的安全漏洞,检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。 #{}与$ {}的区别     默认情况下,使用#{}格式的语法会导致MyBatis的创建的PreparedStatemen...
Mybatis防止Sql注入
热门推荐
Daniel的博客
05-25 2万+
一、什么是Sql注入 sql注入是一种代码注入技术,将恶意的sql插入到被执行的字段中,以不正当的手段多数据库信息进行操作。 在jdbc中使用一般使用PreparedStatement就是为了防止sql注入。 比如代码 :"select * from user where id =" + id; 正常执行不会出现问题,一旦被sql注入,比如将传入参数id=“3 or 1 = 1”,那么sq...
MyBatis使用#{ }防止SQL注入
大道至简
03-04 3705
Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{}和${}。常见是使用#{ }来防止SQL注入,这里又设计jdbc的预处理机制两者的区别:当使用 #{}的候select * from user where name = #{name}; #{} 在动态解析的候, 会解析成一个参数标记符。就是解析之后的语句是:select * from us...
mybatis中的like查询,$取值sql注入和通配符注入,#取值防通配符注入
luoyong at csdn
12-11 8918
mybatis中用like查询,如果用户输入的值有"_"和“%”,则会出现这种情况: 用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcde"等等,用户要查询"30%"(注:百分之三十)也会出现问题。 测试后发现不管你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值还存在sql注入的问题。 为了解决这些问
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 1028
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
mybatis如何防止sql注入
03-31
4. 使用字符转义:在 SQL 语句中使用特殊字符,需要对这些字符进行转义,例如使用 \ 转义单引号 ',这样可以防止 SQL 注入攻击。 总之,MyBatis 通过使用参数化查询和动态 SQL 等方式防止 SQL 注入攻击,同也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值