mybatis SQL注入之$和#的区别

最新推荐文章于 2024-06-01 11:30:00 发布
最新推荐文章于 2024-06-01 11:30:00 发布
阅读量4.3k 收藏 7
点赞数
分类专栏: sql mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengtianqq/article/details/88568041
版权
sql 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
mybatis
1 篇文章 0 订阅
订阅专栏

mybatis SQL注入之$和#

目录

mybatis SQL注入之$和#

 一、在sql语句中,#可以防止被注入,$可以动态插入列名或者表名。

二、动态插入列名或表名的方便,

 一、在sql语句中,#可以防止被注入,$可以动态插入列名或者表名。

1.在sql中#{}是传参数的方式插入值,#{value}碧不参与bybatis的代码编译,是实际上#{value}就是自动帮我们加了双引号“” ,value =zhangsan,#{value}就是相当于“zhangsan”,#{}还会自动过滤了表名,列名等重要的名称;

2.${}是直接把数据显示到sql语句,${}是直接参与代码编译的,value =zhangsan,#{value}就是相当于zhangsan,¥{}还不会自动过滤了表名,列名等重要的名称。

被注入的危害:

看一段${}代码:

<select id="queryByUserName" resultMap="userResultMap" 			parameterType="String">
       select * from db_user where user_name=${username}
</select>

如果username传的是 zhangsan or 1=1,那么编译后的sql语句是: select * from db_user where user_name= zhangsan or 1=1,这条语句是和我们的预期完全不一样的。

二、动态插入列名或表名的方便,

 两条条语句:drop table ${name};drop table #{name};

当那么name=orgtable时,对应下来就是drop table orgtable;drop table "orgtable";只有drop table orgtable才是符合我们的预期的。这时候应该使用${}

 

 

 

 

 

ConfidentWU
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入实例分析
weixin_30624825的博客
07-23 3440
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
Mybatis-SQL注入讲解及#预处理与$的区别.html
07-12
sql注入
MyBatis 1】SQL注入(1)
2401_84046645的博客
04-18 1046
我个人认为,如果你想靠着背面试题来获得心仪的offer,用癞蛤蟆想吃天鹅肉形容完全不过分。想必大家能感受到面试越来越难,想找到心仪的工作也是越来越难,高薪工作羡慕不来,却又对自己目前的薪资不太满意,工作几年甚至连一个应届生的薪资都比不上,终究是错付了,错付了自己没有去提升技术。这些面试题分享给大家的目的,其实是希望大家通过大厂面试题分析自己的技术栈,给自己梳理一个更加明确的学习方向,当你准备好去面试大厂,你心里有底,大概知道面试官会问多广,多深,避免面试的时候一问三不知。
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
qq_44005305的博客
06-01 675
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2123
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
mybatis ${} sql注入
建伟博客
03-22 4867
mybatis中${}的sql注入解决方案主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议首先#{}和${}在预编译中的处理是不一样的。#{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句:select * from user where name = ?;${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成sele...
mybatis #和$的区别及$的sql注入示例
qq_41516802的博客
07-27 476
关于mybatis的#和$的区别,以及$产生sql注入的小例子
Mybatis下动态sql中##和$$的区别讲解
08-26
Mybatis下动态sql中##和$$的区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql中##和$$的区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
Mybatis-SQL注入讲解及#预处理与$的区别.md
最新发布
07-18
sql注入
浅谈Mybatis #和$区别以及原理
08-18
这两个占位符的使用场景和风险也不同,#号可以防止SQL注入,而$号则需要服务器端提供参数,前端可以用参数进行选择,避免SQL注入的风险。 Mybatis对#和$的处理 Mybatis对#和$的处理机制不同。在源码中,我们可以...
浅谈mybatis中的#和$的区别
09-02
MyBatis中,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
#注入与$注入区别
scdncby的博客
06-13 1793
 #注入与$注入区别看起来,这个问题貌似很简单,其实底层都是这样,内藏玄机,就看咱用的好不好(武功高低)#相当于对数据 加上 双引号,初值 ;$相当于直接显示数据 ,  净值 ;这里说的其实是预编译的问题 #是对数据值进行了处理 , 说个实际场景 , 有一次 , 我在做多环境配置接口 , oracle和mysql ,采取的是动态激活方式 , 里面有条件查询 , 同样条件都是 userid 都是字...
sql注入介绍与实例操作( #{}和${})
weixin_43005654的博客
04-30 1962
sql注入介绍及实例操作(#{}、${})
2.6 Mybatis——参数处理之sql注入
wqh101121的博客
07-10 398
1.应用场景: 查询满足某一不确定情况下的用户信息,具体查询属性以运行测试输入为准。 2.实例问题描述: 倒序查询User表中满足某一条件的用户信息,具体查询条件按运行测试输入属性为准。 3.解决方法: (1)UserDao层方法:在具体方法形参前加入 @Param("str")。 (2)UserDao.java的映射文件:在sql注入查询字段的位置写为${str}。 (3)运行测试: 4.关键代码展示: UserDao.java: package...
mybatis中#{}和${}的区别,使用场景及sql注入
akunshouyoudou的博客
03-12 2662
转载:https://blog.csdn.net/ideality_hunter/article/details/80623526 https://blog.csdn.net/weixin_42323802/article/details/82425111 2018年09月05日 15:47:53打豆豆。阅读数:1061标签:#{}和${} #{} ${} 更多 个人分类:myb...
MyBatis中防止 sql注入及#{ }和${ }的区别
qq_39181839的博客
06-01 305
MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。 动态 sql 是 mybatis 的主要特性之一,在mybatis中我们可以把参数传到xml文件,由mybatis对sql及其语法进行解析,mybatis支持使用${}和#{}。 那么${}和#{}有什么区别呢? mybatis 在对 sql 语句进行预编译之前,会对 sql 进行动态解析。 #{} #{}是sql
MyBatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
hnjsjsac的博客
07-01 1693
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,MyB...
mybatis中#{}与${}的差别(如何防止sql注入
热门推荐
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
SQL中#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2250
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
mybatis中的$和#占位符区别sql注入怎么解决?
06-12
MyBatis中的#{}和${}都是用于占位符的,但是它们的作用有所不同。 #{}用于预编译参数,它会将参数值转义后再拼接到SQL语句中,可以有效防止SQL注入攻击。 ${}用于拼接SQL语句,它会将参数值原封不动地拼接到SQL语句中,如果参数值包含SQL注入攻击的关键字,就会造成安全问题。 因此,为了避免SQL注入攻击,建议尽量使用#{}占位符,并且不要将参数值直接拼接到SQL语句中。 如果必须使用${}占位符,可以通过在SQL语句中使用转义字符或者使用正则表达式对参数值进行过滤,来防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值