模糊查询LIKE语句的SQL注入预防

最新推荐文章于 2024-04-26 02:15:00 发布
最新推荐文章于 2024-04-26 02:15:00 发布
阅读量2.1w 收藏 3
点赞数 3
分类专栏: MySql Java Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newtelcom/article/details/56844186
版权
      一、在 iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入; 
     <select id="INSTITUTIONS-GET-PARAMS" resultMap="INSTITUTIONSDO-MAP" parameterClass="java.util.Map">
		<![CDATA[
		SELECT /*INSTITUTIONS-CLASSIFICATION-GET-ALL-COUNT */ 
			i.id,
			i.institution_name,
			i.institution_short_name,
			i.create_time,
			i.agency_headquarters,
			i.registration_site,
			i.website_url,
			i.brief_introduction,
			i.logo_url,
			i.hot 
		FROM ins i 
		]]>
		<isNotEmpty property="categoryCode">
			LEFT JOIN ins_industry ii 
    			ON i.id = ii.institutionId
 		 	LEFT JOIN ind_type it 
    			ON it.id = ii.typeId 
		</isNotEmpty>
		where 1=1 
		<dynamic>
			<isNotEmpty property="categoryCode"  prepend=" AND ">
				<![CDATA[
				it.category_code = #categoryCode# 
				]]>
			</isNotEmpty>
			<isNotEmpty property="institutionName"  prepend=" AND ">
				i.institution_short_name LIKE '%$institutionName$%' 
			</isNotEmpty>
			ORDER BY i.hot ASC 
			<isNotEmpty property="start">
	    	  LIMIT #start#, 
	    		<isNotEmpty property="size">
	    			#size#
	    		</isNotEmpty>
	    	</isNotEmpty>
		</dynamic>
   </select>

    如上SQL语句,如果用户输入: %' AND 2498=2498 AND '%'=',会构成如下SQL,精简后如下,是能正确返回记录的,即存在SQL注入: 
          SELECT 
			i.id,
			i.institution_name,
			i.institution_short_name,
			i.create_time,
			i.agency_headquarters,
			i.registration_site,
			i.website_url,
			i.brief_introduction,
			i.logo_url,
			i.hot 
		FROM ins i 
			LEFT JOIN ins_industry ii 
    			ON i.id = ii.institutionId
 		 	LEFT JOIN ind_type it 
    			ON it.id = ii.typeId 
		where 1=1 AND 
				i.institution_short_name LIKE '%%' AND 2498=2498 AND '%'='%' 
		ORDER BY i.hot ASC LIMIT 0, 10


     二、解决办法:
           1、尽量避免采用$的方式,$会导致SQL注入, LIKE '%$institutionName$%' 和  LIKE  concat( '%',$institutionName$,'%') 都会导致SQL注入
           2、尽量采用 #的方式,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号; 更详细的可以查看$和#的区别;
           3、对于例子中的模糊查询, 可以用#结合 concat函数,即修改为 LIKE concat('%',#institutionName#,'%') ;
           4、以上只是编码LIKE语句的SQL注入防范,实际中需要对用户输入进行过滤处理;    
newtelcom
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis模糊查询和动态sql语句的用法
08-26
这种方法可以实现更加灵活的模糊查询,並且可以防止SQL注入。 三、多条件查询 在实际应用中,我们经常需要实现多条件查询,例如根据员工姓名和性别来查询员工信息。在Mybatis中,我们可以使用if标签和where标签来...
在Like语句中的注入是指在使用Like语句进行模糊匹配时,由于未正确处理用户输入
BLOG域名:programb.blog.csdn.net
07-26 1156
在Like语句中,如果没有对用户输入进行适当的过滤和转义,攻击者可以通过在输入中插入特殊字符来改变查询的逻辑,从而绕过预期的过滤条件。在Like语句中的注入是指在使用Like语句进行模糊匹配时,由于未正确处理用户输入,导致恶意用户可以通过构造特定的输入来执行恶意操作或者获取敏感信息的一种安全漏洞。SQL 注入是一种攻击手段,攻击者通过在输入字段中插入或 “注入” 恶意的 SQL 代码,从而绕过应用程序的安全措施,执行非预期的 SQL 语句语句时,如果不进行适当的处理,就可能会面临 SQL 注入的风险。
SQL注入
qq_31088019的博客
08-04 1805
sql注入
SQL LIKE 语句
最新发布
李长安的博客
04-26 478
13、如果调试一个程序让你很苦恼,千万不要放弃,成功永远在拐角之后,除非你走到拐角,否则你永远不知道你离他多远,所以,请记住,坚持不懈,直到成功。1、作为一个真正的程序员,首先应该尊重编程,热爱你所写下的程序,他是你的伙伴,而不是工具。2、程序员可以让步,却不可以退缩,可以羞涩,却不可以软弱,总之,程序员必须是勇敢的。5、没有情调,不懂浪漫,也许这是程序员的一面,但拥有朴实无华的爱是他们的另一面。3、编程是一种单调的生活,因此程序员比普通人需要更多的关怀,更多的友情。
sql注入新玩法-like
lovelj的博客
01-20 2367
一、前言 最近发现一个比较有意思的sql语句,使用like但是没有使用模糊查询,却匹配出了所有的字段 二、学习 1、int 型 n_id存在且n_id=1 n_id存在且n_id=2 由上可知,当字段值类型未int时,字段值=1 like 1(表达式为Ture),即效果为n_id=1,字段值=1 like 2(表达式为False),即效果为n_id=0,mysql中列值从1开始,因此返回为空,n_id=666 ,n_id不存在;进一步验证猜想 ...
记一次使用sqlmap对oracle进行like注入
weixin_45439432的博客
12-17 3889
环境:jsp+oracle 从FUZZ的结果以及http响应的长度来看,普通的注入被waf拦截,存在like注入 like注入其实也并不是两边都要有 %,我们只需要闭合单引号就行了: 接下来用sysdata参数可以确定数据库为oracle。 sysdata函数为oracle数据库的日期,length求的是字符长度,可构造语句: 1’ AND LENGTH(SYSDATE) LIKE LENGTH(SYSDATE) AND ‘NGjD’ LIKE 'NGjD 现在可以确定存在注入了,于是移步到工具使用环
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 8881
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3078
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
MyBatis中的模糊查询语句
08-31
在MyBatis这个轻量级的持久层框架中,模糊查询是通过SQL语句来实现的,这使得我们可以灵活地构建复杂的查询逻辑。下面将详细介绍MyBatis中的模糊查询语句及其应用。 1. 模糊查询基本概念: 模糊查询通常使用SQL中的...
C#适用于like语句的SQL格式化函数
09-04
然而,当我们直接处理用户输入来构造`LIKE`语句时,必须确保数据已经正确格式化,防止SQL注入等安全问题。本文将详细介绍一个C#中的SQL格式化函数,该函数专门针对`LIKE`语句,可以将字符串转换为安全的、符合`LIKE`...
python中数据库like模糊查询方式
09-17
需要注意的是,在执行含有用户输入的SQL语句时,必须小心防范SQL注入攻击。虽然在这个例子中,我们假设`test_value`和`sel`是安全的,但在实际应用中,我们应该使用参数化查询或预编译语句来确保安全。例如,在使用`...
Laravel使用模型实现like模糊查询的例子
10-16
此外,为了确保应用的安全性,应始终验证用户输入并防止SQL注入。在Laravel中,`input`方法已经自动对用户输入进行了转义,但如果直接在查询中构建动态SQL,可能会存在风险。在上述示例中,`$searchTerm`已经被安全...
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1104
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
mysql中like语句注入_like查询中的SQL注入
weixin_39643865的博客
01-19 3953
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
REGEXP注入与LIKE注入学习笔记
qwzf
08-08 3489
首发于先知社区 0x00 前言 之前已经学过SQL盲注了,也见过盲注中REGEXP注入,但没详细了解过。正好这次BJD遇到了这个,简单总结,并把题目复现一下。 0x01 注入原理 REGEXP注入,即regexp正则表达式注入。REGEXP注入,又叫盲注值正则表达式攻击。 应用场景就是盲注,原理是直接查询自己需要的数据,然后通过正则表达式进行匹配。 0x02 REGEXP注入分析 1、基本注入 select (s...
Mybatis预防SQL注入之like模糊查询整理
qq_34868715的博客
09-11 6882
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 ‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析...
SQL中,有效防止like的SQL注入
白高林的专栏
03-12 5546
SQL中有效防止like的SQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入。 like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
mybatis模糊查询应先处理好参数,再进行查询,防止sql注入
Samin的博客
04-23 361
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。
64.网络安全渗透测试—[SQL注入篇3]—[SQL注入-三大类型]
qwsn
08-23 2067
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、按照传参方式分类:`3类` 1、GET 型注入 2、POST 型注入 3、COOKIE 型注入 4、demo测试:`request.php` 二、按照传参的数据类型分类:`3类` 1、int 整型注入 2、string 字符型注入 3、like 搜索型注入 4、闭合总结 三、按照注入的技巧分类:3类 1、联合查询注入:union select 联合两个表 2、报错注入:利用数据库报错信息进行注入 3、盲注: 基于时间
模糊查询怎么防止sql注入
03-30
模糊查询可以使用预处理语句防止 SQL 注入。预处理语句是在执行 SQL 语句之前将查询语句和参数分开的一种技术。这样做可以让 SQL 数据库系统将查询语句和参数分开处理,从而避免 SQL 注入攻击。 例如,使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值