有效防sql注入的两种方式

最新推荐文章于 2023-05-23 18:10:41 发布
原创 最新推荐文章于 2023-05-23 18:10:41 发布 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #java

本文介绍MyBatis中#{}

1 Mybatis

我们都知道:MyBatis使用#{}${}来进行参数值替换;
使用#{}语法时,MyBatis会自动生成PreparedStatement,使用参数绑定(?)的方式来设置值,#{}可以有效防止SQL注入;
而使用${}语法时,MyBatis会直接注入原始字符串,即相当于分段字符串,因此会导致SQL注入,如:

<select id="getByName" resultType="org.example.User">
 SELECT * FROM user WHERE name = '${name}' limit 1
</select>

name为' or '1'='1,实际执行的语句为

SELECT * FROM user WHERE name = '' or '1'='1' limit 1

因此建议尽量使用#{},但有些时候,如按语句排序,使用#{}会导致错误,如:

ORDER BY #{sortBy}

sortBy参数估计name,替换后会成为:

ORDER BY "name"

即以字符串“name”来排序,而不是按名称排序。这种情况就需要使用 ${}

ORDER BY ${sortBy}

使用了${}后,使用者需要自行过滤输入,方法有:

  • 代码层使用白名单的方式,限制sortBy允许的值,如只能为name,create_time变量,异常情况则设置为替换值name。

  • 在XML配置文件中,使用if标签来进行判断
    Mapper接口方法:

     List<User> getUserListSortBy(@Param("sortBy") String sortBy);

    xml配置文件:

    <select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user
  <if test="sortBy == 'create_time desc' or sortBy == 'create_time asc'">
 order by ${sortBy}
  </if>
</select>

    因为Mybatis不支持else,需要替换值的情况,可以使用 choose (when, otherwise)

    <select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user
  <choose>
    <when test="sortBy == 'create_time desc' or sortBy == 'create_time asc'">
      order by ${sortBy}
    </when>
    <otherwise>
      order by create_time desc
    </otherwise>
 </choose>
</select>

2 Filter

CrosXssFilter:

@WebFilter(filterName = "CrosXssFilter ", urlPatterns = { "/*" })
public class CrosXssFilter implements Filter {
    private static final Logger logger = LoggerFactory.getLogger(CrosXssFilter.class);
@Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
    	//sql,xss过滤
        HttpServletRequest httpServletRequest=(HttpServletRequest)request;
        logger.info("CrosXssFilter.......orignal url:{},ParameterMap:{}",httpServletRequest.getRequestURI(), JSONObject.toJSONString(httpServletRequest.getParameterMap()));
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper=new XssHttpServletRequestWrapper(
                httpServletRequest);
        chain.doFilter(xssHttpServletRequestWrapper, response);
        logger.info("CrosXssFilter..........doFilter url:{},ParameterMap:{}",xssHttpServletRequestWrapper.getRequestURI(), JSONObject.toJSONString(xssHttpServletRequestWrapper.getParameterMap()));
    }
    @Override
    public void destroy() {

    }
}

XssHttpServletRequestWrapper:

/**
 * 防止sql注入,xss攻击
 * 前端可以对输入信息做预处理,后端也可以做处理。
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private final Logger log = LoggerFactory.getLogger(getClass());
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    private static String replacedString="INVALID";
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }

    private String currentUrl;

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }


    /**覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public Map<String, String[]> getParameterMap(){
        Map<String, String[]> values=super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result=new HashMap<>();
        for(String key:values.keySet()){
            String encodedKey=cleanXSS(key);
            int count=values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++){
                encodedValues[i]=cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey,encodedValues);
        }
        return result;
    }
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
      /*@Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }*/

    private String cleanXSS(String valueP) {
        // You'll need to remove the spaces from the html entities below
        String value = valueP.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        value = cleanSqlKeyWords(value);
        return value;
    }

    private String cleanSqlKeyWords(String value) {
        String paramValue = value.toLowerCase();
        for (String keyword : notAllowedKeyWords) {
            if (paramValue.length() > keyword.length() + 4
                    && (paramValue.contains(" "+keyword)||paramValue.contains(keyword+" ")||paramValue.contains(" "+keyword+" "))) {
                paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                log.error(this.currentUrl + "已被过滤,因为参数中包含不允许sql的关键词(" + keyword
                        + ")"+";参数:"+value+";过滤后的参数:"+paramValue);
            }
        }
        return paramValue;
    }
}

参考

1 彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
2 springboot-防止sql注入,xss攻击,cros恶意访问

SQL注入详解
渗透之路,攻防之间皆学问
05-05 26万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6918
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7572
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程中,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
防止SQL注入的方法和最优解
weixin_39210100的博客
12-28 2万+
防止SQL注入的方法和最优解      学习慕课网的WEB安全之SQL注入课程后和百度相关文章后的总结,主要为解决 思路,相关操作自行到慕课网观看。 一、存在问题 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不 同),意思就是让应用运行本不应该运行的SQL代码。通过把SQL命令插入到Web 表单递交或输入域名或页面请求的查询字符串,就会造成一些出人意料
如何有效防止sql注入
Java旅途
08-12 2963
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想获取的数据,这就是所谓的SQL Injection,即SQL注入。 一 背景 假如某高校开发了一个网课系统,要求学生选课后完成学习,数据库中有一张表course,这张表存放着每个学生的选课信
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改、删除敏感数据,甚至完全控制服务器。为了防止这种攻击,开发者需要对用户输入进行严格的过滤和验证,这就是输入值/...
360提供的phpsql注入代码修改类
05-02
在网络安全领域,SQL注入和HTTP跨站攻击是两种常见的攻击方式,它们对网站的安全构成严重威胁。PHP作为广泛应用的服务器端脚本语言,其代码安全至关重要。本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何...
sql注入数据库修复的两种实例方法
09-10
修复SQL注入问题至关重要,本文将详细介绍两种实例方法来解决数据库中的SQL注入问题。 1. 第一种修复方法是针对已知注入字符串的全替换。这种方法的目标是将所有含有特定注入字符串的字段内容替换为空。以下是一个...
ASP下的两个防止SQL注入式攻击的Function
10-30
### ASP下的两个防止SQL注入式攻击的Function 在Web开发领域,尤其是对于使用动态脚本语言如ASP(Active Server Pages)构建的应用程序来说,确保数据安全性至关重要。SQL注入是一种常见的安全漏洞,攻击者通过在...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
mysql进阶(二十四)SQL注入的方法总结
热门推荐
IT全栈 华强工作室
06-30 5万+
SQL注入的方法总结 这篇文章主要讲解了SQL注入的方法,介绍了什么是注入注入的原因是什么,以及如何御,需要的朋友可以参考下。 SQL注入是一类危害极大的攻击形式。虽然危害很大,但是御却远远没有XSS那么困难。 SQL注入可以参见:https://en.wikipedia.org/wiki/SQL_injection SQL注入漏洞存在的原因,就是
SQL 注入御方法总结
BlankTe的博客
09-25 504
SQL 注入是一类危害极大的攻击形式。虽然危害很大,但是御却远远没有XSS那么困难。SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injectionSQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。 演示下经典的SQL注入 我们看到:select id,no from us
SQL注入的最好实现方式是什么?
dotNET跨平台
09-23 358
咨询区 LeonidasFett:我的问题是:如何在 C# 中是使用SQL注入,我的模糊理解是可以通过限定应用程序接收的字段格式来实现最终目的,比如说:email字段只能接收email的...
SQL参数化查询--最有效可预SQL注入攻击的方式
05-08 751
      参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。   在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Acces...
如何有效防止SQL注入攻击
singwhatiwanna
09-14 1645
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写...
mysql注入方法_mybatis 防止sql注入的方法
weixin_34551614的博客
01-19 571
攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式mybatis框架作为一款半自动化...
如何防止SQL注入
m0_49521873的博客
05-23 2522
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免在SQL语句中直接拼接用户输入的数据。
2020-10-10
不二的博客
10-10 1061
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
C#防止SQL注入:三种实用策略
除此之外,文章还提到了两种具体的C#实现SQL注入的代码示例: - C#SQL注入方法一:在Web.config文件中定义安全参数,如`,CustomerEmail-email,ShippingZipcode-USzip" />`。这样,应用程序可以根据配置检查特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值