Mybatis的模糊查询、sql注入

最新推荐文章于 2024-08-19 16:01:20 发布
最新推荐文章于 2024-08-19 16:01:20 发布
阅读量612 收藏 7
点赞数 14
文章标签: java 开发语言 mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74356429/article/details/135116900
版权

1、Mybatis的模糊查询

UserDao接口

 //模糊查询
    public  List<User> findUserByName(String username);
MyBatisTest.java 文件
//模糊查询
    @Test
    public void testFindUserByName(){
        String resource = "mybatis-config.xml";
        inputStream = Resources.getResourceAsStream(resource);
        SqlSessionFactory sessionFactory = new 
        SqlSessionFactoryBuilder().build(inputStream);
        sqlSession = sessionFactory.openSession();
        userDao = sqlSession.getMapper(UserDao.class);
        List<User> userList = userDao.findUserByName("张");
        for (User user : userList) {
            System.out.println(user);
        }
         //关流
        sqlSession.close();
        inputStream.close();

    }

UserDao.xml配置文件

<!--模糊查询-->
    <select id="findUserByName" parameterType="string" resultType="com.by.pogo.User">
        <!-- select * from user where username like concat('%',#{username},'%') -->
        select * from user where username like '%${value}%'<!--${}括号中只能是value-->
    </select>

模糊查询有两种方法,一种使用concat()方法拼接,一种是使用'%${value}%'

2、#{}和${}区别
                     底层                          jdbc类型转换(自动加’) sql注入      单个简单类型参数
    #{}             preparedStatement              转换                     防止              任意
    ${}             S     tatement                           不转换                  不防止           value

建议除模糊查询外,尽量不适用${}

  • #{}符

    1. #{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换

    2. #{}可以接收简单类型值或 pojo 属性值。 如果 parameterType 传输单个简单类 型值,#{}括号中可以是 value 或其它名称。

    3. #{}可以有效防止 sql 注入。

  • ${}符

    1. ${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换

    2. ${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value

3、sql注入

MyBatisTest.java 文件
//sql注入
    @Test
    public void testLogin(){
        UserDao userDao = sqlSession.getMapper(UserDao.class);
        User userInfo = new User();
        userInfo.setUsername("张三丰' #");
        userInfo.setPassword("123");
        User user = userDao.login(userInfo);
        System.out.println(user);
    }

UserDao 接口

//sql注入
    public User login(User user);

UserDao.xml 文件

 <!--sql注入-->
    <select id="login" parameterType="com.by.pogo.User" resultType="com.by.pogo.User">
        select * from user where username = '${username}' and password = '${password}'
    </select>

相当于数据库执行了下面语句sql语句 ,使用“#”号忽略掉了密码字段,查询到用户信息

牛奶味的团子
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防
互联网架构小马的博客
10-20 537
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 MybatisSQL语句需要我们自己手动编写或者用generator自动生成
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1123
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
JDBC学习笔记(2)--sql注入问题、模糊查询、事务
weixin_43788771的博客
04-21 799
sql注入模糊查询,与事务
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1208
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
【JOOQ】解决模糊查询sql注入问题
Qing__zi的博客
03-09 572
jooq模糊查询,解决sql注入
MyBaits系列(三)MyBatis模糊查询SQL注入
大鱼的博客
04-28 938
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
Mysql模糊查询防止sql注入
过去过去,未来未来,当下永恒!
09-23 1112
使用concat配合escape 防止sql注入 escape意思就是说/之后的_不作为通配符 <if test="params.jobName != null and params.jobName !='' and params.jobName !='空'.toString()"> and r1.jobName like CONCAT('%',#{params.jobName},'%') escape '#' </if> ...
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
mybatis 模糊查询的实现方法
12-16
MyBatis中,模糊查询是一种常见的查询方式,特别是在数据搜索功能中不可或缺。本文将详细介绍如何在MyBatis中实现模糊查询,以及`#`和`$`的区别。 首先,让我们来理解`#`和`$`的区别。这两个符号在MyBatis中用于...
详解Mybatis框架SQL注入指南
08-18
Mybatis中,如果不正确地处理用户输入,就可能导致SQL注入Mybatis提供了两种参数符号来防止SQL注入:`#` 和 `$`。`#` 用于预编译(PreparedStatement),它会将参数转换为问号占位符,从而避免了SQL注入。例如...
MyBatis中的模糊查询语句
08-31
虽然MyBatis能自动处理参数绑定,但使用`%${value}%`的方式仍然存在SQL注入的风险,因为用户可以直接输入`%`字符。为了提高安全性,可以使用MyBatis的`#{}`语法,它会将参数值转义并用单引号包围,如`LIKE '%' || #{...
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发中,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
mysql注入模糊_模糊查询-动态参数,防SQL注入
weixin_42131443的博客
01-19 214
Centos6&period;6下安装MySQL5&period;61.先查看本机上已经安装的MySQL rpm –qa | grep -i mysql 如果存在信息说明已经安装MySQL 需要完全卸载以前的MySQL yum remove mysql mysql-s ...JAVA元运算符,一元运算符,二元运算符,三元运算符一元运算符: 序号 一元运算符 说明 1 i++ 给i加...
c#sql注入模糊查询_技术场景之解决SQL注入
weixin_32595533的博客
01-06 407
开篇前言以前的无知,造就了一场场线上事故,现在回想起来,不忍想象.而这篇文章,主要聊聊SQL注入.曾经的自己,因为没有对接口参数进行规范化处理,导致了数据库被恶意客户端把数据库爬得一干二净.当时非常气恼,现在回想起来,我还要谢谢那个人,谢谢你没有把数据库的数据全给我清空.01.什么是SQL注入SQL注入,指服务器接口对用户输入数据的合法性没有判断或过滤不严,导致恶意客户端可以通过在参数中...
mybatis LIKE 查询时 $、# sql注入问题分析
heshiyuan1406146854的博客
04-11 596
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
mybatis模糊查询应先处理好参数,再进行查询,防止sql注入
Samin的博客
04-23 375
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。
网络安全必学SQL注入
dzqxwzoe的博客
06-20 864
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。注入攻击的本质,是把用户输入的数据当做代码执行。
SQL实现模糊查询的四种方法总结
热门推荐
qq_58626489的博客
02-18 1万+
SQL实现模糊查询的四种方法总结
【链表在Java中DeBug】
最新发布
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
08-19 130
时,你实际上是在告诉当前节点 cur:“你的下一个节点应该是这个新创建的节点。,你将 cur 的引用更新为新创建的节点,这样 cur 现在就指向了你刚刚添加到链表末尾的节点。实际上,head 是一个固定的引用,它始终指向链表的第一个节点(即头节点)。当你看到链表似乎“增长”了,这实际上是因为你通过操作 cur(当前节点的引用)在链表的末尾添加了新的节点。所以,当你看到链表“增长”时,你实际上是在通过更新节点之间的链接(即 next 指针)来扩展链表结构。它只是保持了对链表起始节点的引用。
mysql模糊查询Sql注入的问题
08-04
引用[1]中提到,在使用MyBatis进行模糊查询时,如果将模糊查询条件拼接在中间,MyBatis会认为存在SQL注入的风险。为了防止SQL注入,我们可以使用预编译语句和参数绑定的方式来处理模糊查询。引用[2]中提到,MyBatis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值