ibatis防止sql注入

最新推荐文章于 2024-05-01 09:18:47 发布
最新推荐文章于 2024-05-01 09:18:47 发布
阅读量3.1k 收藏
点赞数 1

本文转载自

         http://blog.csdn.net/scorpio3k/article/details/7610973

        http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html



对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

 3. MSSQL中通过'%'+#param#+'% 。 

 

如下3种SQL语句

    mysql: select * from t_user where name like concat('%',#name #,'%')  
     
    oracle: select * from t_user where name like '%'||#name #||'%' 
     
    SQL Server:select * from t_user where name like '%'+#name #+'%


 #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

总结:

        在j2ee项目中使用到ibatis(现为mybatis),为防止SQL注入,在编写sqlmap文件时,对于参数值都用 #  # 获取。

   

liuxigiant
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
拦截所有ibatissql执行_Mybatis源码学习(四)拦截器与插件原理
weixin_34885746的博客
01-23 671
一、mybatis执行过程和架构· 加载回顾前几文加载mybatis时,会通过sqlSessionFactoryBuilder的build方法对xml文件进行解析,解析成document树后,再依次对树中的XNode结点进行解析,如xml配置中的plugins、environments、mappers、typeHandlers等基础配置信息,初始化后赋值给configurati...
实现对ibatis原生SQL的拦截改造-可以实现物理分页等(咋个办呢 zgbn)
咋个办呢 zgbn
02-03 1133
实现对ibatis原生SQL的拦截改造-可以实现物理分页等spring-ibatis-ext-plugin.1.0.0下载附有源代码描述:针对连接ibatis执行SQL前做SQL拦截,并对原生的SQL做扩展性的改造,来完成我们在需求方面ibatis自身不能完成的事情。基本思路就是找到ibatis执行sql的地方,截获sql并重新组装sql。通过分析ibatis源码知道,最终负责执行sql的类是 co
2024年最新MyBatis 拦截器使用方法总结_mybatis拦截器的使用
最新发布
2401_84302796的博客
05-01 292
MyBatis。
ibatis 数据库获取不到 java_如何拦截ibatis中所有的执行sql,并记录进数据库
weixin_31642733的博客
02-23 196
通过spring aop去拦截SqlMapClientTemplate下的方法,即可进行对所有执行sql的拦截,并进行操作。package com.detain.system.aop;import org.aspectj.lang.ProceedingJoinPoint;import org.aspectj.lang.annotation.Around;import org.aspectj.lan...
ibatis拦截器,实现sql打印
qq_18871751的博客
06-15 931
package com.alibaba.kaola.ad.searchad.dao.interceptors; import java.sql.Connection; import java.util.Date; import java.util.HashSet; import java.util.List; import java.util.Properties; import java.util.Set; import java.util.regex.Matcher; import com.ali.
拦截所有ibatissql执行_springMVC入门(八)------拦截器
weixin_36205186的博客
01-23 246
SSM框架是java开发最常用的框架组合,作为视图层的框架SPring MVC框架有着极其广泛的应用,很多的小可爱在Java学习的框架阶段存在着诸多的迷茫,今天小编将手把手的带领大家进行三大框架之一的Spring MVC框架的学习,本学习课程分为七个阶段,让大家学习不在迷茫今天主要进行Spring MVC 框架的基本讲解.简介springMVC拦截器针对处理器映射器进行拦截配置 如果在某个处理器映...
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
ASP.NET MVC+iBatis+SQL
09-11
3. **参数绑定**:在iBatis映射文件中,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatisSQL来构建一个简单的Web应用程序。...
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
ibatis源码
09-25
PreparedStatement可以防止SQL注入,提高执行效率,而Statement适用于动态SQL的场景。 5. **TypeHandler类型处理器**:TypeHandler负责Java类型与数据库类型的转换。Ibatis提供了一系列内置的TypeHandler,如...
iBatis解决自动防止sql注入
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
拦截所有ibatissql执行_SpringMVC中的拦截器
weixin_28893597的博客
01-20 494
关注不迷路大家好,今天我给大家分享一下SpringMVM中的拦截器。Springmvc的处理器拦截器类似于Servlet 开发中的过滤器Filter,用于对处理器进行预处理和后处理。本文主要总结一下springmvc中拦截器是如何定义的,以及测试拦截器的执行情况和使用方法。1. SpringMVC拦截器的定义在springmvc中,定义拦截器要实现HandlerInterceptor接口,并实现该...
iBatis防止SQL注入
岁寒松柏
10-25 774
为了防止SQL注入iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。    mysql: select * from stu where name like concat('%',#name #,'%')    oracle: select * from stu where name like '
ibatis防止SQL注入的办法
heyunliang的专栏
05-06 389
常见容易犯错的写法: select * from page_frame where title like '%$title$%' 这样会引起SQL注入漏洞. 解决方法: select * from page_frame where title like '%'||#title#||'%' 注意:以上写法在oracle使用。 在mysql中,用这个: select * from page_frame...
mybatis sql注入拦截器
u010449328的博客
07-27 825
mybatis防范sql注入拦截插件,为了防止误伤其它参数,插件只解析了mapper中占位符${}的参数来匹配规则,该插件非侵入式和无其它依赖
ibatis基于拦截器的分页实现
程序员的专栏
07-23 3064
ibatis基于拦截器的分页实现
MyBatis 拦截器使用方法总结
热门推荐
一线大码
05-16 1万+
文章目录1. 基础介绍1.1. 核心对象1.2. 执行过程2. 实现步骤2.1. 添加注解2.1.1. type2.1.2. method2.1.3. args2.2. 方法实现2.2.1. intercept2.2.2. plugin2.2.3. setProperties3. 代码示例 MyBatis拦截器可以做的工作:SQL修改,分页操作,数据过滤,SQL执行时间性能监控等。 1. 基础介绍 1.1. 核心对象 从MyBatis代码实现的角度来看,MyBatis的主要的核心部件有以下几个: Con
springboot+mybatis如何防止sql注入
05-26
在 Spring Boot + Mybatis 中,防止 SQL 注入的方法如下: 1. 使用预编译语句 在 Mybatis 中,可以使用 #{} 作为占位符,Mybatis 会自动将其转换为预编译语句中的 ?,这样能够防止 SQL 注入攻击。 例如: ``` @Select("SELECT * FROM user WHERE username = #{username}") User getUserByUsername(@Param("username") String username); ``` 2. 使用 Mybatis 提供的参数类型转换器 Mybatis 提供了一些参数类型转换器,可以将传入的参数转换为安全的 SQL 语句。例如: ``` @Select("SELECT * FROM user WHERE id = #{id, jdbcType=INTEGER}") User getUserById(@Param("id") Integer id); ``` 3. 使用 Mybatis 提供的 SQL 过滤器 Mybatis 提供了一个 SQL 过滤器,可以对 SQL 语句进行过滤,将其中的非法字符转换为安全的字符。例如: ``` <plugins> <plugin interceptor="org.apache.ibatis.plugin.Interceptor"> <property name="prop1" value="value1"/> <property name="prop2" value="value2"/> </plugin> </plugins> ``` 以上是几种防止 SQL 注入的方法,但最好的方法还是尽量避免使用动态 SQL 语句,尽量使用静态 SQL 语句。如果必须使用动态 SQL 语句,一定要保证传入的参数是安全的,可以通过正则表达式等手段进行校验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值