Mybatis的模糊查询、sql注入

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量600 收藏 7
点赞数 14
文章标签: java 开发语言 mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74356429/article/details/135116900
版权

1、Mybatis的模糊查询

UserDao接口

 //模糊查询
    public  List<User> findUserByName(String username);
MyBatisTest.java 文件
//模糊查询
    @Test
    public void testFindUserByName(){
        String resource = "mybatis-config.xml";
        inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sessionFactory = new 
        SqlSessionFactoryBuilder().build(inputStream);
        sqlSession = sessionFactory.openSession();
        userDao = sqlSession.getMapper(UserDao.class);
        List<User> userList = userDao.findUserByName("张");
        for (User user : userList) {
            System.out.println(user);
        }
         //关流
        sqlSession.close();
        inputStream.close();

    }

UserDao.xml配置文件

<!--模糊查询-->
    <select id="findUserByName" parameterType="string" resultType="com.by.pogo.User">
        <!-- select * from user where username like concat('%',#{username},'%') -->
        select * from user where username like '%${value}%'<!--${}括号中只能是value-->
    </select>

模糊查询有两种方法,一种使用concat()方法拼接,一种是使用'%${value}%'

2、#{}和${}区别
                     底层                          jdbc类型转换(自动加’) sql注入      单个简单类型参数
    #{}             preparedStatement              转换                     防止              任意
    ${}             S     tatement                           不转换                  不防止           value

建议除模糊查询外,尽量不适用${}

  • #{}符

    1. #{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换

    2. #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类 型值,#{}括号中可以是 value 或其它名称。

    3. #{}可以有效防止 sql 注入。

  • ${}符

    1. ${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换

    2. ${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value

3、sql注入

MyBatisTest.java 文件
//sql注入
    @Test
    public void testLogin(){
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo = new User();
        userInfo.setUsername("张三丰' #");
        userInfo.setPassword("123");
        User user = userDao.login(userInfo);
        System.out.println(user);
    }

UserDao 接口

//sql注入
    public User login(User user);

UserDao.xml 文件

 <!--sql注入-->
    <select id="login" parameterType="com.by.pogo.User" resultType="com.by.pogo.User">
        select * from user where username = '${username}' and password = '${password}'
    </select>

相当于数据库执行了下面语句sql语句 ,使用“#”号忽略掉了密码字段,查询到用户信息

牛奶味的团子
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL实现模糊查询的四种方法总结
qq_58626489的博客
02-18 1万+
SQL实现模糊查询的四种方法总结
JDBC学习笔记(2)--sql注入问题、模糊查询、事务
weixin_43788771的博客
04-21 780
sql注入模糊查询,与事务
Mybatis02:万能的map 和 模糊查询防止sql注入
lenard-lhz的博客
04-02 223
使用map处理多参数问题。“%” “%”防止sql注入问题。
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1136
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
【JOOQ】解决模糊查询sql注入问题
Qing__zi的博客
03-09 564
jooq模糊查询,解决sql注入
MyBatisSQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 763
以上就是mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
Mybatis动态SQL模糊查询
了凡
09-18 1929
Mybatis动态SQL模糊查询创建User表CREATE TABLE d_user ( id INT PRIMARY KEY AUTO_INCREMENT, name VARCHAR(10), age INT(3) ); insert into d_user(name,age) values('Tom',12); insert into d_user(name,age)
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
mybatis 模糊查询的实现方法
12-16
MyBatis中,模糊查询是一种常见的查询方式,特别是在数据搜索功能中不可或缺。本文将详细介绍如何在MyBatis中实现模糊查询,以及`#`和`$`的区别。 首先,让我们来理解`#`和`$`的区别。这两个符号在MyBatis中用于...
详解Mybatis框架SQL注入指南
08-18
Mybatis中,如果不正确地处理用户输入,就可能导致SQL注入Mybatis提供了两种参数符号来防止SQL注入:`#` 和 `$`。`#` 用于预编译(PreparedStatement),它会将参数转换为问号占位符,从而避免了SQL注入。例如...
MyBatis中的模糊查询语句
08-31
虽然MyBatis能自动处理参数绑定,但使用`%${value}%`的方式仍然存在SQL注入的风险,因为用户可以直接输入`%`字符。为了提高安全性,可以使用MyBatis的`#{}`语法,它会将参数值转义并用单引号包围,如`LIKE '%' || #{...
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发中,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
SQL怎么实现模糊查询
热门推荐
学而不思则忘
12-06 2万+
模糊查询的语句一般如下: SELECT 字段 FROM 表 WHERE 某字段 LIKE 条件; 关于条件部分,有以下匹配模式: 1. %:表示零个或多个字符。 可以匹配任意类型和任意长度的字符,有些情况下若是中文,请使用两个百分号(%%)表示。 select * from user where username like '%张%'; 将会把user这张表里面,列名username中含有张的记录全部查询出来。 如果需要找到user这张表里面,字段username中既有张,又有李的记录,可以使用and
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 858
mybatis模糊查询防止sql注入
网络安全必学SQL注入
dzqxwzoe的博客
06-20 850
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。注入攻击的本质,是把用户输入的数据当做代码执行。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3097
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
mybatis模糊查询like报sql注入问题
dhklsl的专栏
07-19 2198
mybatis模块查询sql注入问题
mybatis LIKE 查询时 $、# sql注入问题分析
heshiyuan1406146854的博客
04-11 550
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 513
1.导入hutool的maven依赖。2.复制一下代码执行。
mysql模糊查询Sql注入的问题
08-04
在MySQL中,模糊查询SQL注入问题是一个需要注意的安全隐患。当我们在拼接模糊查询条件时,如果不对输入参数进行处理,就有可能导致SQL注入攻击。引用[1]中提到,在使用MyBatis进行模糊查询时,如果将模糊查询条件拼接在中间,MyBatis会认为存在SQL注入的风险。为了防止SQL注入,我们可以使用预编译语句和参数绑定的方式来处理模糊查询。引用[2]中提到,MyBatisSQL语句是具有输入和输出功能的,我们可以使用#符号来表示输入参数在SQL中的拼接部分。这样,MyBatis会将输入参数进行预编译,从而防止SQL注入的风险。引用[3]中提到,MyBatis底层使用的是JDBC中的PreparedStatement类来实现SQL预编译。PreparedStatement是Statement的子类,它的对象包含了编译好的SQL语句。通过使用PreparedStatement,我们可以提高SQL的安全性,并且在多次执行同一个SQL时提高效率。因此,为了防止MySQL模糊查询SQL注入问题,我们应该使用预编译语句和参数绑定的方式来处理模糊查询条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值