mybatis的xml配置中使用${}可能发生SQL注入,应使用#{}

最新推荐文章于 2024-05-13 10:20:46 发布
最新推荐文章于 2024-05-13 10:20:46 发布
阅读量5.5k 收藏 1
点赞数
分类专栏: 框架 文章标签: mybatis sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkforce/article/details/58157808
版权

项目中遇到了这样的情况,在页面的文本域输入一堆某表的编号,每行是一个编号,用这些编号在后台查询数据库表的code字段。

 

比如输入的编号是:

AAA

BBB

CCC


错误示范:

从前台页面获得参数后,参数用\n分割,加好双引号和逗号,最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串,在xml配置中使用 code in (${codeArray})的形式把字符串传给数据库,就像这样:

<if test="codeArray !=null">
	code in (${codeArray})
</if>

处理之后的sql大概是这样的:

select * from table where code in (”AAA”,”BBB”,”CCC”);

 

存在的问题:可能出现sql注入

比如:如果在文本域输入的内容是123") or true or (id=",最后拼成的sql就会是这样的:

select * from table where code in (“123”)or true or (id=””);

查询的结果会是表内所有的记录。

 

建议的方式:使用#{},列表的情况可以用mybatis的<foreach>标签来配合,比如这样:

<if test="codeArray !=null">
    code in
    <foreach collection="codeArray" item="item" index="index"open="(" close=")" separator=",">
        #{value}
    </foreach>
</if>

这种方式最后处理的结果是这样的:

select * from table
where code in
(  
?
)

[" 123\") or true or(id=\""]

不会查询出所有的结果,避免了SQL注入。

 

所以,能用#{}就不要用${}了。

lkforce
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis双引号引发的惨案
纸上得来终觉浅,绝知此事要躬行
09-03 6928
#{}与${}的区别 #{}是预编译处理,${}是字符串替换Mybatis在处理#{}时,会将sql的#{}替换为?号, 调用PreparedStatement的set方法来赋值; Mybatis在处理时,就是把{}时,就是把时,就是把{}替换成变量的值。 使用#{}可以有效的防止SQL注入,提高系统安全性。 再通俗的说,使用${}mybatis会把参数加上双引号,而${} 你给啥,sql语...
解决Mybatis反向生成的mapper.xml数据库表名带有引号的问题
╱/.独﹄無㈡oоΟ的博客
05-13 8107
相信有好多情况Mybatis反向生成的xml表名带有双引号,这种情况在调用的时候会出现错误。 1、方案一 很简单,利用idea的查找替换,讲带有双引号的替换成不带双引号的,但是一个文件还好,要是很多岂不费时。因此我们有了方案二。 2 、方案二 这是很细的一个点,有的情况生成的带有双引号,有的配置文件生成的就不带有,这是我的亲身经历。下面给大家附上生成xml文件无误的代码 导入依赖: <!-- Mybatis反向生成 --> <dependency> .
【安全】mybatis#{}和${}导致sql注入问题及解决办法_${
最新发布
2401_84972830的博客
05-13 657
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Mybatis的 ${} 和 #{}区别与用法
YJB666的专栏
12-10 430
Mybatis的 ${} 和 #{}区别与用法 Mybatis 的Mapper.xml语句parameterType向SQL语句传参有两种方式:#{}和${} 注意:由于$是参数直接注入的,导致这种写法,大括号里面不能注明jdbcType,不然会报错 弊端:可能会引起sql的注入,平时尽量避免使用${...} 注意:因为#{...}解析成sql语句时候,会在变量外侧自动...
消息摘要算法与密码加密
weixin_48206782的博客
09-13 418
首先,对密码进行加密后,再存储,是非常有必要的!并且,主要的防范对象通常是内部员工!需要注意,对密码进行加密处理时,不可以使用加密算法!因为,所有的加密算法都是可以加密,也可以解密的!加密算法的核心价值在于保证数据在传输过程是安全的,并不保证数据存储的安全!对需要存储的密码进行加密处理时,使用消息摘要算法,其本质是一种哈希算法,是不可逆向运算的!消息相同,则摘要相同无论消息长度,摘要的长度是固定的(同一种算法)消息不同,则摘要几乎不会相同。
Mybatis $ 和 #千万不要乱用
嘻哈熊的专栏
08-02 785
2、${}: 主要用于获取配置文件数据, DAO 接口的参数信息, 当 $ 出现在映射文件的 SQL 语句时创建的不是预编译的 SQL, 而是字符串的拼接, 有可能会导致 SQL 注入问题. 所以一般使用 $ 接收 dao 参数时, 这些参数一般是字段名, 表名等, 例如 order by {column}。看了上面的区别介绍,相信大家其实都该知道区别在哪里,我们的问题在哪里,其实就是 sql 在 in 的时候 ,里面的数据被加了两个双引号。所以导致部分数据查不到了。输出后,终于发现了问题在哪里。..
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高用程序的安全性。
MyBatis使用$和#所遇到的问题及解决办法
09-01
在业务层处理后,`ruleName`可能转换为`'A','B','C'`,准备在SQL的`IN`子句使用。 当使用`#{ruleName}`时,MyBatis会尝试将整个字符串`'A','B','C'`作为一个参数传递,而不是将其解析为三个独立的参数,这会导致...
Mybatis之#{}与${}的区别使用详解
08-19
如果我们需要防止SQL注入使用#{}};如果我们需要将参数直接传递给SQL语句,可以使用${}。 例如,在某电商系统的订单表数据量太庞大,不得不分表来保存数据。在这种情况下,我们可以使用${}来拼装原生SQL语句...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
MyBatis ${}和 #{}千万不要乱用
热门推荐
小布1994的博客
07-26 3万+
1、#{}是预编译处理,MyBatis在处理#{ }时,它会将sql的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “4,44,514”就会变成“ ‘4,44,514’ ”; 2、是字符串替换,在处理是字符串替换,MyBatis在处理时,它会将sql的{}是字符串替换,在处理{ }是字符串替换, MyBat...
【安全】mybatis#{}和${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 1209
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全急响工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Spring+Mybatis对代码扫描SQL注入问题
RuaGuGuGu的博客
09-03 1887
Spring+Mybatis对代码扫描SQL注入问题 在一些代码安全扫描,经常会出现难以处理的“SQL注入”漏洞,也就是在Mybatis的Mapper使用了${} ,这些地方无法轻易改为#{},例如需要动态决定查询的表名。 那么我们该如何对这种棘手的情况呢? 首先,我们做一个假设,扫描软件只能识别$。在这种情况下,我们可以考虑改变Mapper的占位符,比如改为@{}。这样,我们只需要在SQL语句被实际执行前,把写在代码里的@替换成$就行了,功能不会受影响,且扫描软件无法发现。 直接上代码: @C
mybatis#{}和${}的区别以及SQL注入问题
weixin_47331155的博客
12-13 2162
mybatis
关于mybatis用${}会sql注入的问题
weixin_61503139的博客
09-17 709
sql注入
通过xml配置文件的方式,配置Mapper需要用到的SQL语句
weixin_73849581的博客
12-05 1231
通过xml配置文件的方式,配置Mapper需要用到的SQL语句
如何在编译的时候查看xml文档的sql语句是否报错,将mybatisxml文档的sql语句执行过程和结果打印出来。mapper: debug
鹏神丶明月天
07-07 484
如何在编译的时候查看xml文档的sql语句是否报错,将mybatisxml文档的sql语句执行过程和结果打印出来。mapper: debug将上述代码写入bootstrap.yml文件如果是spring cloud系统,使用nacos管理
mybatis源码分析(一)】mybatis扫描xml解析的过程
sumengnan的博客
02-24 1529
环境使用springboot 1、从MybatisAutoConfiguration自动装配类开始,可以看到创建了一个SqlSessionFactoryBean,经过了一系列填充属性操作,其包含configuration配置类的属性填充, n最后执行getObject方法获取到SqlSessionFactory类型的bean configuration配置类的属性填充:就是我们在配置文件的如下配置,会由springboot绑定到MybatisProperties类 然后..
mybatis使用${}如何防止注入攻击?
07-14
MyBatis使用`${}`进行字符串替换时,存在注入攻击的风险。为了防止注入攻击,可以采取以下措施: 1. 使用参数占位符:推荐使用`#{}`参数占位符,而不是`${}`字符串替换。`#{}`会将参数作为预编译语句的参数传递给数据库,可以防止SQL注入攻击。例如: ```xml <select id="getUserById" parameterType="int" resultType="com.example.User"> SELECT * FROM users WHERE id = #{id} </select> ``` 2. 输入参数校验:在接收用户输入参数时,进行必要的校验和过滤。可以使用正则表达式或其他方法对输入进行验证,确保输入的数据符合预期的格式和范围。 3. 使用特殊字符转义:如果必须使用`${}`进行字符串替换,可以对输入参数进行特殊字符转义。MyBatis提供了`<![CDATA[]]>`标签,可以在XML配置文件对字符串进行转义处理。例如: ```xml <select id="getUserByUsername" resultType="com.example.User"> SELECT * FROM users WHERE username = #{username} AND password = ${username} <![CDATA[ OR 1=1]]> </select> ``` 4. 限制数据库权限:限制数据库用户的权限,确保数据库用户只能执行必要的操作,并对敏感数据进行保护。 综上所述,为了防止注入攻击,推荐使用`#{}`参数占位符,并进行输入参数校验和特殊字符转义。同时,合理设置数据库权限,以保护数据库的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值