mybatis中的like查询,$取值时防sql注入和通配符注入,#取值时防通配符注入

最新推荐文章于 2024-04-11 10:15:00 发布
最新推荐文章于 2024-04-11 10:15:00 发布
阅读量8.8k 收藏 7
点赞数 1
文章标签: mybatis like sql注入 sql通配符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoyongsir/article/details/17257991
版权

在mybatis中用like查询时,如果用户输入的值有"_"和“%”,则会出现这种情况:

用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcdf"等等;用户要查询"30%"(注:百分之三十)时也会出现问题。

测试后发现无论你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值时还存在sql注入的问题。

为了解决这些问题,我在后台对用户传入的值进行了处理,代码如下:

import org.apache.commons.lang3.StringUtils;

/**
 * mybatis中like查询时,需用该方法处理字符,防止sql注入<br>
 * sql server 2005测试有效
 * 
 * @date    2013年12月9日 下午4:08:54
 * @version 1.0
 * @author  luoy
 */
public class SqlUtil {

	private static final String H = "#";
	private static final String S = "$";

	/**
	 * mapper.xml中的取值方式为#{}时
	 * @param str like的查询条件
	 * @return
	 */
	public static String likeEscapeH(String str) {
		return likeEscapeZ(str, H, true, true);
	}
	
	/**
	 * mapper.xml中的取值方式为${}时
	 * @param str like的查询条件
	 * @return
	 */
	public static String likeEscapeS(String str) {
		return likeEscapeZ(str, S, true, true);
	}
	
	/**
	 * @param str   like的查询条件
	 * @param type  mapper.xml中的取值方式,只能“#”或“$”
	 * @param start 字符串前部是否拼接“%”
	 * @param end   字符串尾部是否拼接“%”
	 * @return
	 */
	public static String likeEscapeZ(String str, String type, boolean start, boolean end) {
		if (StringUtils.isBlank(str)) {
			return null;
		}
		StringBuffer buffer = new StringBuffer();
		// 拼接顺序不能改变
		if (S.equals(type)) {
			buffer.append(" '");
		}
		if (start) {
			buffer.append("%");
		}
		int len = str.length();
		//注意:"]"不能处理
		for (int i = 0; i < len; i++) {
			char c = str.charAt(i);
			switch (c) {
			case '\'':
				if (S.equals(type)) {
					buffer.append("''");// 单引号替换成两个单引号
				} else {
					buffer.append(c);
				}
				break;
			case '[':
				buffer.append("[[]");
				break;
			case '_':
				buffer.append("[_]");
				break;
			case '%':
				buffer.append("[%]");
				break;
			case '^':
				buffer.append("[^]");
				break;
			case '!':
				buffer.append("[!]");
				break;
			default:
				buffer.append(c);
			}
		}
		
		if (end) {
			buffer.append("%");
		}
		if (S.equals(type)) {
			buffer.append("' ");
		}
		return buffer.toString();
	}
	
	public static void main(String[] args) {
		String str = "aaaa]p'100%_a[[][][]][[][]]df[]dfaf]";
		System.out.println("result#: " + likeEscapeH(str));
		System.out.println("result$: " + likeEscapeS(str));
	}
}


看了代码的人应该很容易就明白了。这里的三个方法分别对应多种可能的情况,第一个是#号取值,参数前后都加百分号;第二个方法是$取值,参数前后都加百分号;第三个方法是参数可配,而且考虑到了,有时候不需要前后都加百分号的情况。

xml中的写法:

1,

<if test="xxx != null" >

select * from tabale_name a where  a.xxx like ${xxx }

</if>

2,

<if test="xxx != null" >

select * from tabale_name a where  a.xxx like #{xxx }

</if>


添加oracle适用类

import org.apache.commons.lang3.StringUtils;

/**
 * oracle 适用<br/>
 * mybatis中like查询用$取值时,需用该方法处理字符,防止sql注入<br/>
 * 
 * @date 2016年01月20日
 * @author 罗勇
 */
public final class SqlUtil {

    /**
     * mapper.xml中的取值方式为${}时
     * 
     * @param str
     *            like的查询条件
     * @return
     */
    public static String likeEscape(String str) {
        return likeEscape(str, true, true);
    }

    /**
     * @param str
     *            like的查询条件
     * @param start
     *            字符串前部是否拼接“%”
     * @param end
     *            字符串尾部是否拼接“%”
     * @return
     */
    public static String likeEscape(String str, boolean start, boolean end) {
        if (StringUtils.isBlank(str)) {
            return null;
        }
        StringBuilder buf = new StringBuilder();
        // 拼接顺序不能改变
        buf.append(" '");
        if (start) {
            buf.append("%");
        }
        boolean flag = false;
        int len = str.length();
        for (int i = 0; i < len; i++) {
            char c = str.charAt(i);
            switch (c) {
            case '\'':
                buf.append("''");// 单引号替换成两个单引号
                break;
            case '_':
                buf.append("\\_");
                flag = true;
                break;
            case '%':
                buf.append("\\%");
                flag = true;
                break;
            default:
                buf.append(c);
            }
        }

        if (end) {
            buf.append("%");
        }
        buf.append("' ");
        if (flag) {
            buf.append("escape '\\' ");
        }
        return buf.toString();
    }

    private SqlUtil() {
    }

    public static void main(String[] args) {
        String str = "aaaa]p'100%_a[[][][]][[][]]df[]dfaf]!bbb^";
        System.out.println("result$: " + likeEscape(str));
    }
}


luoyongsir
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
简单了解Mybatis如何实现SQL注入
08-25
然而,在使用Mybatis时,开发者经常会遇到SQL注入问题,这是由于Mybatis使用了$和#两个不同的占位符来防止SQL注入。今天,我们将详细了解Mybatis如何实现SQL注入。 什么是SQL注入SQL注入是一种常见的安全威胁...
MyBaits#{}和${}的真正区别,${}的使用场景,#{}如何防止注入
芋艿V
01-12 276
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~...
MyBatis 之三(查询操作 占位符#{} 与 ${}、like查询、resultMap、association、collection)
m0_58761900的博客
02-18 2109
进行一对一查询,需要使用 association 标签,表示一对一的结果映射,其 property 属性:指定其所要一对一的那个属性 resultMap 属性:指定那个属性所关联的结果集映射 columnPrefix 属性:用来解决多表相同字段数据覆盖的问题 和一对一 标签类似,一对多也需要标签 ,来表示一对多的结果映射 其也是需要设置 property(对象的属性名)、resultMap(映射对象对应的字典)、columnPrefix(一般不要省略,解决了多张表相同字段查询数据覆盖的问题)
mybatis LIKE 查询时 $、# sql注入问题分析
最新发布
heshiyuan1406146854的博客
04-11 382
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
Mybatis预防SQL注入之like模糊查询整理
qq_34868715的博客
09-11 6790
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合。 ‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析...
MyBatis的Like查询用Concat解决模糊查询'%'放置至Sql语句,同是防止sql注入
何阳的博客
05-07 5327
Concat函数:Concat函数可以连接一个或者多个字符串,若其一个为null,则返回null用Concat(org1,org2,....)将 %与 #{name}与连接在一起,避免将sql%放到java代码(即避免硬编码)语句如下:...
Mybatis在 mapper.xml like的两种用法。
qq_60782107的博客
06-25 2484
【代码】Mybatis在 mapper.xml like的两种用法。
like 语法防止 SQL注入
weixin_44609018的博客
06-02 886
like 语法防止 SQL注入 Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: select * from t_user where name like '%' || #{name} || '%' SQLServer: select * from t_user where name like '%' + #{name} + '%'
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis下动态sql##和$$的区别讲解
08-26
Mybatis下动态sql##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis,使用...
Mybatis防止sql注入的实例
08-30
然而,在mybatis,也不是所有的参数都可以使用#{xxx}这样的格式,例如涉及到动态表名和列名时,只能使用${xxx}这样的参数格式,这样的参数需要我们在代码手工进行处理来防止注入。例如:”map”> select id,...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
浅谈Mybatis #和$区别以及原理
08-18
在源码,我们可以看到,Mybatis会将SQL语句和参数进行处理,并交给PreparedStatement来执行。在上面的示例代码,我们可以看到,Mybatis将${tableName}替换成了tb_class,#{id}也已经变成了占位符?,生成了SQL...
浅谈mybatis的#和$的区别
09-02
下面小编就为大家带来一篇浅谈mybatis的#和$的区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 8847
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
Mybatis SQL 注入攻击的 3 种方式
LU58542226的博客
09-20 659
以上就是mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order byxml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入Mybatis注解编写sql时方法类似java层面应该做好参数检查,假定用户输入均为恶意输入,防范潜在的攻击。
mybatis的$和#占位符区别,sql注入怎么解决?
06-12
MyBatis的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值