mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入

最新推荐文章于 2023-06-27 14:26:04 发布
最新推荐文章于 2023-06-27 14:26:04 发布
阅读量3.7k 收藏 7
点赞数 4
分类专栏: java 文章标签: mybatis java 开发语言 运维 restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401606/article/details/126584354
版权

mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。

一、mybatis的两种传参方式#{}和${}

1. #传参

1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加一个单引号。
如:order by #{orderBy},如果传入的时间是 ,则会被解析为 order by ‘update_time’ (这样排序是无效的,这也是为什么不能用#号传参的原因)。
1.2 #方式能够很大程度防止sql注入

2. $传参

$ 方式会传入一个不改变的字符串,不能够防止注入
如:order by #{orderBy},如果传入的时间是 ,则会被解析为 order by update_time

因此,能用#号就别用KaTeX parse error: Expected 'EOF', got '#' at position 40: …字段和方式这样的情况,不能使用#̲号传参了,使用传参又希望能够防止注入保证安全。下面介绍一下我的解决方式。

二、$传参如何防止注入

使用枚举的方式可以解决这个问题,简单的说就是提前定义好我们的表名、排序字段和排序方式有哪些。将我们需要用到的表名、排序字段和排序方式这些内容定义到单独的枚举类或者常量定义类中。
下面介绍两种方式:

2.1 在业务代码中判断防止注入:

在业务代码中进行判断,不在此范围的我就直接按默认方式处理,这样就可以过滤掉不规范的参数和sql的注入代码。
关键代码:
仅以开始时间和更新时间的排序介绍,可根据实际需求的情况添加其他业务字段,

// 默认开始时间倒序 
param.setOrderBy("begin_time");
param.setSort("DESC");  	

if (StringUtils.isNotEmpty(param.getOrderBy())) {
    switch (param.getOrderBy()) {
        case "updateTime":
            param.setOrderBy("update_time");
            break;
        default:
            param.setOrderBy("begin_time");
    }
} 

// 如果是升序,就重新设置为升序
if("ascending".equals(param.getSort())) {
    param.setSort("ASC");
}

处理过后都是我们可控的属性内容,就可以直接使用$传参了,如:

SELECT <include refid="Base_Column_List"/> 
FROM alarm_list_info_view as m
<where>
        m.status = 0
</where>
order by ${param.orderBy}  ${param.sort}

2.1 在mybatis的xml文件中判断枚举防注入

关键代码:

SELECT <include refid="Base_Column_List"/> 
FROM alarm_list_info_view as m
<where>
     <if test="param.orderBy== 'begin_time'">
    	order by begin_time
     </if>
     <if test="param.orderBy== 'update_time'">
        order by update_time
     </if>
</where>

// 或者这样 总之先保证是我们需要的排序字段和方式 一般字段也不会太多 不够可以添加 
SELECT * FROM alarm_list_info_view as m
<choose>    
	 <when test="(orderBy=='begin_time' or orderBy=='update_time') and (sort=='desc' or sort=='asc')">      
	  	  order by ${orderBy}   ${sort}  
	 </when>    
     <otherwise>    
  		  order by updateTime   desc
     </otherwise>    
</choose>

按照这个思路就能完美解决了,各位大佬有别的解法请求指教。

m0_67401606
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实现的注入的,代码中要如何防范这种动态sql注入
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 217
MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
MybatisGenerator+sqlServer代码生成器
01-19
之前大家基本用的是连接mySql的数据库的,这里分享一个连接SqlServer的生成器,喜欢收藏~ 主要是在generator.xml进行配 原创文章 2获赞 3访问量 158 关注 私信 展开阅读全文 作者:小码农啊丶
MybatisOrder By排序
凤凰涅槃
11-12 4万+
利用Mybatis逆向自动生成,—Example.java,—Mapper.xml文件。 一、—Mapper.xml文件,一个自动生成的查询方法,我们可以看到有order by排序语句。 二、所以我们在逻辑层可以将排序条件加上,以以下例子为例,这里我是按审核状态升序查询。只需要我们在Controller加上example.setOrderByClause(" card_sts ASC");如果你...
Springboot Mybatis 自定义顺序排序查询,指定某个字段
最新发布
默默不代表沉默
06-27 3816
Springboot Mybatis 自定义顺序排序查询,指定某个字段
mybatisorderBy(排序字段)和sort(排序方式)引起的bug
意田天的博客
07-23 1万+
引言: 记录一个mybatis实现动态字段排序动态的升降序问题 实现效果如下: 1. 问题叙述: 在这里无论使用postman是否传递sort的值, 都不生效, postman 执行的sql日志 ==> Preparing: select sum(acd.read_view_count) as read_view_count,sum(acd.read_person_count) as read_person_count, sum(acd.like_count) as like_count,
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Mybatis使用order by语句
秃头哥编程
08-11 8083
今天在公司写代码的时候,想到有这样的需求,就是点击不同的按钮,跳转到同一个页面,但根据不同的条件对查询出来的结果进行排序。因为有六七种情况,所以我不可能相同的代码重复写六七遍,仅仅是查询条件不同。 所以自然而然的就想到传入一个参数给sql语句,然后使用order by进行排序。 因为之前一直使用#运算符,所以一如既往,使用#运算符就干,然鹅结果却是不起作用,看了一下输出日志,发现是这样输出的 ...
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
Mybatis动态字段排序注入-简单粗暴上代码的方式
从改变自己开始
12-14 2842
一、Mybatis动态参数说明 参数符号 编译 安全 值 #{} 预编译 安全 ?替换,处理后的值,字符类型都带双引号 ${} 未预编译 不安全,存在SQL注入问题 页面传什么值就是什么值 二、order by 动态参数值说明 1、order by后面使用#{} 是无效的,只能使用${}。如果使用${}是会引起SQL注入的。 三、动态参数校验防止SQL注入 1、查询BO对象定义好排序参数 @ApiModelProper
MybatisOrder By排序问题
热门推荐
Dream it Possible
11-03 15万+
曾写过一篇博客,是接触了一段时间的mybatis开发总结的:《Mybatis,怀疑--使用--感悟》。又过去了一段时间,前不久和别人联调接口,遇到了mybatis排序问题。这篇博客就来总结一下,在mybatis框架下,如何实现排序?     排序,是个很基础的需求。实现的时候只需要在查询语句后面加上order by 某个字段即可。在mybatis中,用工具可以帮助我们自动生成底层的一套东西,便
防止xss和sql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
动态实现排序的效果
05-13
有个示范,是用打一种方式达到的,现在还有一个问题,的用;另外的js和css实现,但是还有一个问题
mybatis创建一个或多个新用户 insert 字段和表名不确定时动态添加问题
08-31
主要介绍了mybatis创建一个或多个新用户 insert 字段和表名不确定时动态添加问题,非常不错,具有参考借鉴价值,需要的朋友可以参考下
mybatis拦截器实现通用权限字段添加的方法
08-25
主要给大家介绍了关于mybatis拦截器实现通用权限字段添加的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用mybatis具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Mybatis动态调用表名和字段名的解决方法
09-01
今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,这种情况下,就需要构建sql来动态传入表名、字段名了,下面给大家介绍mybatis动态调用表名和字段名的解决方法,一起看看吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
oracle+mybatis 使用动态Sql当插入字段不确定的情况下实现批量insert
12-30
最近做项目遇到一个挺纠结的问题,由于业务的关系,DB的数据表无法确定,在使用过程中字段可能会增加,这样在insert时给我造成了很大的困扰。 先来看一下最终我是怎么实现的: <![CDATA[ INSERT INTO tg_fcst...
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
前端不传入数据库字段名的前提下,传入数据库查询列表排序方式,填充到sql中,如何设计
05-31
如果前端不传入数据库字段名,只传入排序方式,那么你可以在后端定义好所有可以被排序字段名及其对应的数据库字段名,前端只需要传入一个排序方式和一个可排序字段名的标识符,后端就可以根据标识符找到对应的数据库字段名,再将它们填充到 SQL 语句中。 以下是一个示例: 假设你有一个名为 `User` 的实体类,其中有三个属性:`id`、`name` 和 `age`。你要根据这三个属性进行排序,前端只会传入排序方式(升序或降序)和一个标识符,表示需要排序的属性。你可以在后端定义一个映射表,将标识符和数据库字段名对应起来,如下所示: ```java Map<String, String> fieldMap = new HashMap<>(); fieldMap.put("id", "id"); fieldMap.put("name", "name"); fieldMap.put("age", "age"); ``` 然后,当收到前端的请求时,你可以按照以下步骤进行处理: 1. 获取前端传来的排序方式排序字段标识符: ```java String sortField = request.getParameter("sortField"); String sortOrder = request.getParameter("sortOrder"); ``` 2. 根据排序字段标识符获取对应的数据库字段名: ```java String dbFieldName = fieldMap.get(sortField); ``` 3. 将排序方式和数据库字段名填充到 SQL 语句中,例如: ```java String sql = "SELECT * FROM user ORDER BY " + dbFieldName + " " + sortOrder; ``` 在上述代码中,`dbFieldName` 是根据标识符从映射表中获取到的数据库字段名,`sortOrder` 是前端传来的排序方式(ASC 或 DESC),最后将它们填充到 SQL 语句中,就可以得到一个带有排序条件的 SQL 语句。 需要注意的是,这种设计方式要求后端必须定义好所有可排序字段名及其对应的数据库字段名,并且前端传来的标识符必须是合法的,否则就会导致 SQL 语句构建出错。因此,在设计时需要慎重考虑,避免出现漏洞或错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值