ibatis防止sql注入

最新推荐文章于 2024-05-01 09:18:47 发布
最新推荐文章于 2024-05-01 09:18:47 发布
阅读量3.1k 收藏
点赞数 1

本文转载自

         http://blog.csdn.net/scorpio3k/article/details/7610973

        http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html



对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

 3. MSSQL中通过'%'+#param#+'% 。 

 

如下3种SQL语句

    mysql: select * from t_user where name like concat('%',#name #,'%')  
     
    oracle: select * from t_user where name like '%'||#name #||'%' 
     
    SQL Server:select * from t_user where name like '%'+#name #+'%


 #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

总结:

        在j2ee项目中使用到ibatis(现为mybatis),为防止SQL注入,在编写sqlmap文件时,对于参数值都用 #  # 获取。

   

liuxigiant
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
拦截所有ibatissql执行_Mybatis源码学习(四)拦截器与插件原理
weixin_34885746的博客
01-23 671
一、mybatis执行过程和架构· 加载回顾前几文加载mybatis时,会通过sqlSessionFactoryBuilder的build方法对xml文件进行解析,解析成document树后,再依次对树中的XNode结点进行解析,如xml配置中的plugins、environments、mappers、typeHandlers等基础配置信息,初始化后赋值给configurati...
实现对ibatis原生SQL拦截改造-可以实现物理分页等(咋个办呢 zgbn)
咋个办呢 zgbn
02-03 1133
实现对ibatis原生SQL拦截改造-可以实现物理分页等spring-ibatis-ext-plugin.1.0.0下载附有源代码描述:针对连接ibatis执行SQL前做SQL拦截,并对原生的SQL做扩展性的改造,来完成我们在需求方面ibatis自身不能完成的事情。基本思路就是找到ibatis执行sql的地方,截获sql并重新组装sql。通过分析ibatis源码知道,最终负责执行sql的类是 co
2024年最新MyBatis 拦截器使用方法总结_mybatis拦截器的使用
最新发布
2401_84302796的博客
05-01 292
MyBatis。
ibatis拦截器,实现sql打印
qq_18871751的博客
06-15 931
package com.alibaba.kaola.ad.searchad.dao.interceptors; import java.sql.Connection; import java.util.Date; import java.util.HashSet; import java.util.List; import java.util.Properties; import java.util.Set; import java.util.regex.Matcher; import com.ali.
拦截所有ibatissql执行_springMVC入门(八)------拦截
weixin_36205186的博客
01-23 246
SSM框架是java开发最常用的框架组合,作为视图层的框架SPring MVC框架有着极其广泛的应用,很多的小可爱在Java学习的框架阶段存在着诸多的迷茫,今天小编将手把手的带领大家进行三大框架之一的Spring MVC框架的学习,本学习课程分为七个阶段,让大家学习不在迷茫今天主要进行Spring MVC 框架的基本讲解.简介springMVC拦截器针对处理器映射器进行拦截配置 如果在某个处理器映...
拦截所有ibatissql执行_SpringMVC中的拦截
weixin_28893597的博客
01-20 494
关注不迷路大家好,今天我给大家分享一下SpringMVM中的拦截器。Springmvc的处理器拦截器类似于Servlet 开发中的过滤器Filter,用于对处理器进行预处理和后处理。本文主要总结一下springmvc中拦截器是如何定义的,以及测试拦截器的执行情况和使用方法。1. SpringMVC拦截器的定义在springmvc中,定义拦截器要实现HandlerInterceptor接口,并实现该...
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
ASP.NET MVC+iBatis+SQL
09-11
3. **参数绑定**:在iBatis映射文件中,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatisSQL来构建一个简单的Web应用程序。...
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
ibatis源码
09-25
PreparedStatement可以防止SQL注入,提高执行效率,而Statement适用于动态SQL的场景。 5. **TypeHandler类型处理器**:TypeHandler负责Java类型与数据库类型的转换。Ibatis提供了一系列内置的TypeHandler,如...
iBatis的动态SQL语句
03-13
iBatis最全的动态SQL语句,你需要的都有,资源在于大家共享
SQL打印拦截
10-23
SQL打印拦截器,spring-context.xm中配置 <bean class="cn.com.gtmc.glaf2.interceptor.PerformanceInterceptor"></bean>
【动态修改SQL语句】Mybatis拦截器修改sql语句
祁_z
08-08 485
MyBatis提供了一种插件(plugin)的功能,虽然叫做插件,但其实这是拦截器功能。MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:我们看到了可以拦截Executor接口的部分方法,比如update,query,commit,rollback等方法,还有其他接口的一些方法等。1、拦截执行器的方法2、拦截参数的处理3、拦截结果集的处理4、拦截Sql语法构建的处理/*** sql增强注解。...
拦截增删改sql,并在事务提交中做后续操作
十步杀一人-千里不留行
08-20 434
import com.alibaba.fastjson.JSONObject; import org.apache.ibatis.executor.statement.StatementHandler; import org.apache.ibatis.plugin.*; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.context.annotation.Configuration; .
mybatis如何防止SQL注入
Lamb的博客
08-02 2270
sql注入解释:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是。
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
Mybatis拦截sql进行改造
大鸡腿的博客
08-24 3401
目录 前言 拦截器 打印搜索的sql 给特定属性特定的值 注意点 运行结果 反例 运行结果 总结 前言 对于一些必要但是很繁琐的字段,每次都需要进行设置。我们可以使用拦截器进行拦截sql进行改造 拦截器 package com.example.demo.handler; import lombok.extern.slf4j.Slf4j; import org.apac...
ibatis基于拦截器的分页实现
程序员的专栏
07-23 3064
ibatis基于拦截器的分页实现
springboot+mybatis如何防止sql注入
05-26
在 Spring Boot + Mybatis 中,防止 SQL 注入的方法如下: 1. 使用预编译语句 在 Mybatis 中,可以使用 #{} 作为占位符,Mybatis 会自动将其转换为预编译语句中的 ?,这样能够防止 SQL 注入攻击。 例如: ``` @Select("SELECT * FROM user WHERE username = #{username}") User getUserByUsername(@Param("username") String username); ``` 2. 使用 Mybatis 提供的参数类型转换器 Mybatis 提供了一些参数类型转换器,可以将传入的参数转换为安全的 SQL 语句。例如: ``` @Select("SELECT * FROM user WHERE id = #{id, jdbcType=INTEGER}") User getUserById(@Param("id") Integer id); ``` 3. 使用 Mybatis 提供的 SQL 过滤器 Mybatis 提供了一个 SQL 过滤器,可以对 SQL 语句进行过滤,将其中的非法字符转换为安全的字符。例如: ``` <plugins> <plugin interceptor="org.apache.ibatis.plugin.Interceptor"> <property name="prop1" value="value1"/> <property name="prop2" value="value2"/> </plugin> </plugins> ``` 以上是几种防止 SQL 注入的方法,但最好的方法还是尽量避免使用动态 SQL 语句,尽量使用静态 SQL 语句。如果必须使用动态 SQL 语句,一定要保证传入的参数是安全的,可以通过正则表达式等手段进行校验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值