MyBatis Mapper中必须使用$导致SQL Injection 如何修复

于 2023-12-20 13:34:28 发布
阅读量660 收藏 6
点赞数 6
分类专栏: 漏洞扫描 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37607945/article/details/135105870
版权

在某些特定情况下,你可能确实需要在MyBatis Mapper中使用 $ 符号进行动态SQL拼接,这可能会导致SQL注入的风险。如果你必须使用 $ 符号,并且无法避免SQL注入问题,以下是一些可以降低风险的策略:

  1. 手动转义特殊字符
    在将用户输入的数据插入到SQL语句之前,手动转义或替换可能用于SQL注入的特殊字符,如单引号、双引号、分号、注释符号等。

    String escapedInput = userProvidedInput.replace("'", "''").replace("\"", "\\\"");

  2. 使用MyBatis的OGNL表达式进行过滤和验证
    如果你的输入是一个复杂对象,你可以使用OGNL(Object-Graph Navigation Language)表达式来访问对象属性,并在访问时进行一些基本的过滤和验证。

    <select id="selectUser" parameterType="map" resultType="User">
  SELECT * FROM users WHERE username = #{user.username}
</select>

    在这个例子中,假设user是一个包含username属性的对象,MyBatis会自动调用其getter方法并进行类型转换。

  3. 使用MyBatis的 <bind> 元素
    在Mapper的 <select><insert><update><delete> 标签之前,可以使用 <bind> 元素来预处理参数。

    <select id="selectUser" parameterType="map" resultType="User">
  <bind name="escapedUsername" value="'%' + ${username} + '%'" />
  SELECT * FROM users WHERE username LIKE #{escapedUsername}
</select>

    在这个例子中,我们使用 % 符号对用户名进行模糊匹配,并在传递给SQL语句之前添加了引号。

  4. 使用自定义拦截器或插件
    你可以创建一个自定义的MyBatis拦截器或插件,在执行SQL语句之前对所有使用 $ 符号的参数进行额外的安全检查和转义。

  5. 后端业务逻辑验证
    在将数据传递给MyBatis之前,确保在后端业务逻辑层进行了充分的验证和过滤,以减少恶意输入到达数据库的可能性。

请注意,虽然这些方法可以降低SQL注入的风险,但它们并不能完全消除风险。最佳实践仍然是尽可能使用 #{} 参数占位符,并确保在应用程序的其他层面上也实施严格的输入验证和安全措施。

lang20150928
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MyBatis源码分析:SQL Mapper
壮小牛的博客
07-08 308
SQL Mapper
mybatis什么时候必须要用${}
weixin_42759398的博客
04-06 1630
贤者啊,${}在Mybatis里代表占位符,可以将参数直接放到sql语句。1. 当传递的参数是简单类型(如String、int、double等)时,必须使用${}。希望你能通过Mybatis使用更好地发挥你的能力,达到愿望和目标。2. 在动态SQL语句,如果需要传递参数,则必须使用${}。3. 在使用OGNL表达式传递参数时,必须使用${}。
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 757
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之注入SQL指令,在设计不良的程序当忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序使用字符串联结...
MybatisSqlMapper配置的扩展与应用(3)
a540010的博客
11-19 199
隔了两周,首先回顾一下,在MybatisSqlMapper配置文件引入的几个扩展机制: 1.引入SQL配置函数,简化配置、屏蔽DB底层差异性 2.引入自定义命名空间,允许自定义语句级元素、脚本级元素 3.引入表达式配置,扩充SqlMapper配置的表达能力 前面两条已经举过例子,现在来看看怎么使用表达式配置。说到表达式语言,最为富丽堂皇的自然就是OGNL,但这也正是Mybati...
MyBatis核心组件之SQL Mapper
qq_36525300的博客
05-14 581
简述 映射器(SQL Mapper)是MyBatis最重要、最复杂的组件,它是由一个接口和对应的XML文件组成,它可以配置以下内容: 描述映射规则 提供SQL语句,并可以配置SQL参数类型、返回类型、缓存刷新等信息 配置缓存 提供动态SQL 映射器的主要作用就是将SQL查询到的结果映射成一个POJO(Java原生对象),或者将POJO的数据插入到数据库,并定义一些关于缓存等的重要内容。 下...
MyBatis进行单表多表查询以及其的${}涉及的SQL注入
申俏雅的博客
10-17 498
这篇文章主要介绍#{}h${}区别以及,${}的主要使用场景,造成的sql注入问题,requestMap和requestType的区别,使用 left join来进行多表查询
Spring集成MyBatis 通用Mapper以及 pagehelper分页插件
04-05
使用PageHelper时,只需在MyBatis的配置文件引入插件,并在Mapper查询方法上添加PageHelper的注解,就能轻松实现分页查询。 集成Spring、MyBatis、通用Mapper和PageHelper的步骤如下: 1. 引入相关依赖:在...
Mybatis_SpringMapper
11-20
通过Spring的SqlSessionFactoryBean和SqlSessionTemplate,可以方便地在Spring应用使用Mybatis。 4. **Mapper代理**:在MybatisMapper接口是用于定义数据库操作的方法,而Mapper XML文件则包含了对应的SQL...
通用Mapper、RESTful Web Service SSM mybatis 笔记
10-31
通用MapperMyBatis的一种扩展插件,它简化了常见的CRUD操作,如增删查改,无需编写大量的XML配置和Mapper接口,只需在实体类和Mapper接口上添加注解即可实现基本的数据库操作。通用Mapper通过动态生成SQL语句,...
spring结合mybatis使用XML配置实现数据的增删改查
最新发布
03-29
在IT行业,Spring框架与MyBatis的整合是常见的数据访问解决方案,特别是在Java Web开发。这个主题将深入探讨如何通过XML配置文件实现两者的结合,以实现数据库的增、删、改、查(CRUD)操作。首先,我们需要了解...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
JAVA 三大 框架 文 教程 mybatis教程 Spring文开发手册
10-17
Mybatis文版教程详细介绍了如何配置MyBatis,创建Mapper接口,编写XML映射文件,以及如何在Java代码使用这些接口执行数据库操作。MyBatis还支持动态SQL,提高了代码的可读性和可维护性。 Hibernate则是一个强大...
MybatisSQL注入
浩瀚银河
10-16 2405
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
深度剖析Mybatis-plus Injector SQL注入器
Java是世界上最好的语言
05-18 2384
深度剖析Mybatis-plus Injector SQL注入器
复习mybatis-mapper.xml 参数定义以及sql注入的问题
xiaoguaihu12的博客
04-20 1210
mybatis${}与#{}的差别在哪里? 原来在mybatis如果以${}形式声明为SQL传递参数,mybatis将不会进行参数预处理,会直接动态拼接SQL语句,此时就会存在被注入的风险,所以在使用mybatis作为持久框架时应尽量避免采用${}的形式进行参数传递,如果无法避免(有些SQL如like、in、order by等,程序员可能依旧会选择${}的方式传参),那就需要对传入参数自行进...
一种常见的MybatisSQL注入
Sam Knne的博客
04-05 1089
Mybatis是后端开发一种常见的ORM框架,主要用于数据持久化。 举个例子重现一下: 现在有一张名为student的表,表结构如下: 其id为自增主键,余下字段分别为英语成绩、数学成绩、美术成绩、学生的学号、学生的姓名、学生的电话。 目前表里面有6条数据: 使用mybatis框架实现根据美术成绩查找相应的记录,在mapper.xml文件里,代码大概会这么写: <!--通过美术成绩...
mybatis#{}和${}的区别以及SQL注入问题
weixin_47331155的博客
12-13 2174
mybatis
SQL注入】Mybatis框架下的sql注入白盒审计
m0_61572518的博客
03-20 5143
一、Mybatis框架下sql语句的两种写法 1.select * from [tablename] where [column]=#{value} #{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。 2.select * from [tablename] where [column]=${value} ${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。 二、Mybatis框架下两种提供SQL语句的方式 1.在*map
Mybatis执行SQL的两种方式:SqlsessionMapper接口
My_ccup的博客
09-24 3070
网上看了很多关于写mybatis的的简单教程,由于每个人都有不同思路与方法,最终执行的结果也不尽相同,导致了看过之后,自己对于mybatis的知识也是出于一知半解: 最终发现mybatis执行sql有两种方式: 第一种就是SqlSession发送Sql; 主要就是“配置文件(xml)+映射文件(mapper)+实体类(pojo)+测试类(test)” Role role = (Role)sql...
mybatis.config-location=classpath:mybatis/mybatis-config.xml mybatis.mapper-locations=classpath:mybatis/mapper/*.xml
07-13
这是一个典型的MyBatis配置文件的两个重要配置项:mybatis.config-locationmybatis.mapper-locations。 mybatis.config-location指定了MyBatis的配置文件位置。在这个例子,配置文件名为mybatis-config.xml,并且它位于classpath下的mybatis目录。配置文件包含了一些全局的配置选项,比如数据库连接信息、插件配置、类型别名等。 mybatis.mapper-locations指定了MyBatis映射文件(Mapper XML文件)的位置。在这个例子,映射文件的位置是classpath下的mybatis/mapper目录,并且所有以.xml结尾的文件都会被作为映射文件加载。映射文件定义了SQL语句与Java接口方法的映射关系,以及结果集的映射规则。 通过这两个配置项,MyBatis能够找到并加载相应的配置文件和映射文件,从而完成数据库操作。当应用程序启动时,MyBatis会根据这些配置进行初始化,建立数据库连接,并加载所有的映射文件,以便后续的数据库操作能够顺利进行。 希望这个解答对您有帮助,如果有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lang20150928

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值