代码扫描Mybatisxml中$sql注入问题处理

已于 2024-08-23 08:17:21 修改
阅读量338 收藏 6
点赞数 5
分类专栏: Mybatis 文章标签: java sql
于 2024-08-23 08:15:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niugang0920/article/details/141447005
版权

背景

代码安全扫描认为mybatis xml文件中的${},有sql注册风险。

解决

方案1

将xml中的$替换为其他服务,不让扫描出俩。

1.如将${}替换为##{}

<select id="getUserInfov2" resultType="hashmap">
         select ##{field} from  id_t_user_base where id=#{userId}
 </select>

<select id="getUserInfov3" resultType="hashmap">
        select * from  id_t_user_base where ##{ew.sqlSegment}
</select>

2.重写mybtais源码TextSqlNode,动态参数解析器源码,将${替换为##{

org.apache.ibatis.scripting.xmltags.TextSqlNode核心修改代码如下

private GenericTokenParser createParser(TokenHandler handler) {
   return new GenericTokenParser("##{", "}", handler);
}

3.进行功能验证

方案2

参考知乎提供的方案,使用BeanPostPorcessor进行处理。

https://zhuanlan.zhihu.com/p/652639385

请添加图片描述

JAVA程序猿成长之路
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计】SQL注入
大河之犬的博客
12-15 1832
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露。
MyBatis如何防止SQL注入
小小渔夫
05-22 876
SQL注入 什么是SQL注入呢?首先SQL注入是一种攻击手段,一种使用构造恶意的SQL语句,欺骗服务器执行SQL命令,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息。MyBatis如何防止SQL注入SQL#和$区别#$相当于对数据加上双引号相当于直接显示数据很大程度上防止SQL注入无法防止SQL注入#{xxx},使用的是PreparedStatement,会有类型转换,比较安全${x...
关于mybatis用${}会sql注入问题
weixin_61503139的博客
09-17 761
sql注入
【安全】mybatis#{}和${}导致sql注入问题及解决办法
最新发布
baimao__Ch的博客
06-18 357
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Spring+Mybatis应对代码扫描SQL注入问题
RuaGuGuGu的博客
09-03 2048
Spring+Mybatis应对代码扫描SQL注入问题 在一些代码安全扫描,经常会出现难以处理的“SQL注入”漏洞,也就是在Mybatis的Mapper使用了${} ,这些地方无法轻易改为#{},例如需要动态决定查询的表名。 那么我们应该如何应对这种棘手的情况呢? 首先,我们做一个假设,扫描软件只能识别$。在这种情况下,我们可以考虑改变Mapper的占位符,比如改为@{}。这样,我们只需要在SQL语句被实际执行前,把写在代码里的@替换成$就行了,功能不会受影响,且扫描软件无法发现。 直接上代码: @C
急速解决代码扫描MybatisSQL注入问题
变个魔术
03-25 1098
在后端代码和数据库都开启对sql注入的验证,同时用专业的注入工具查找本系统的漏洞进行修复,也可以进行账号诱骗,将一些如“admin”之类的容易受到攻击的用户设置上千位的密码,让攻击者的软件因为解析量大而负载过大,从而耗尽资源而宕机。sql注入见名知意,是指一些非法用户通过将一些特殊字符或者sql语句插入到要提交的表单之,从而让服务器在不知情的情况下执行恶意的sql命令,从而引发一系列的安全隐患。这就是典型的系统漏洞,因此sql注入对系统的危害是非常大的,做好防止sql注入也是系统必须完善的。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 767
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
XMLSQL注入
杳若的博客
08-18 1889
XMLSQL注入
SQL注入漏洞扫描检测
12-20
SQL注入检测的全套代码和论文介绍,C#,Web应用漏洞检测技术,是一种针对web应用的积极防御技术。该技术在应用尚未遭受攻击前,模拟黑客攻击的方式对目标系统进行各种探测,发现系统潜在的漏洞。由于web应用工作在HTTP应用层协议上,所以传统的防火墙、IDS等网络层防护设备不能对其进行保护,此时就需要web应用漏洞检测工具对系统的应用层进行保护,二者互补不足,共同保护web系统的安全。
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2553
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
SpringBoot +Mybatis xml方式配置SQL Demo源码下载
08-07
在本文,我们将深入探讨如何在SpringBoot项目结合Mybatis框架进行XML方式的SQL配置。SpringBoot以其简洁的配置和强大的自动配置能力,极大地简化了应用开发过程,而Mybatis作为一款轻量级的持久层框架,允许...
mybatis Mapper.xml传参多选 字符串形式逗号分隔 AND拼接OR.rar
07-12
Mybatis,`#{}`是预编译参数的占位符,它会在SQL执行时被替换为实际的值,从而避免SQL注入问题。 注意,`<if>`标签用于判断`tags`是否为空或者其大小是否大于0,以决定是否需要执行`<foreach>`循环。这是因为...
Mybatis利用动态SQL对数据库进行优化和安全检查
光剑书架上的书
07-29 1897
MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。但是 MyBatis 也存在着不少性能和安全方面的问题Mybatis 本身功能强大且易用,但同时也可能给系统带来很多隐患和风险。为了更好地保障系统的安全性和运行效率,本篇文章将结合 Mybatis 的一些特性,通过动态 SQL 对数据库进行优化和安全检查的方法进行探讨。什么是动态 SQL
Mybatis如何防止sql注入和缓存机制(个人笔记)
I_like_kan_draw的博客
06-28 371
1. Mybaits如何解决sql注入问题 使用#{}和${}的区别 <delete id="deleteByPrimaryKey" parameterType="java.lang.Long"> delete from demo where id = #{id,jdbcType=BIGINT} </delete> 在Mapper.xml文件sql语句使用#{}来接收传入参数,可以将这个位置的参数作为一个占位符,在预编译时将这个参数与自动转化
mybatisxml配置使用${}可能发生SQL注入,应使用#{}
lkforce
02-27 5575
项目遇到了这样的情况,在页面的文本域输入一堆某表的编号,每行是一个编号,用这些编号在后台查询数据库表的code字段。   比如输入的编号是: AAA BBB CCC 错误示范: 从前台页面获得参数后,参数用\n分割,加好双引号和逗号,最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串,在xml配置使用 code in (${codeArray})的形式把字符串传给
安全漏洞扫描Sql注入解析
09-20 1727
对于Web系统,要防范Sql注入|XSS(跨站脚本攻击)等其他攻击,一般处理方法是针对攻击的关键子进行过滤。这里针对Sql注入和XSS攻击防范方法提供使用的说明。 一、Sql注入防范 1、过滤Sql关键字 大家都知道Web服务器核心实现就是Servlet技术,servlet的过滤器可以对请求Header,请求内容等进行过滤和修改。Sql注入就是利用过滤器功能对请求参数的关键字进行过滤处理,从
web.xml配置全局过滤器防止SQL注入
小草的博客
08-23 997
Statement.executeUpdate(sql),没有使用PreparedStatement.executeUpdate(sql)生产有个老项目使用的是jsp+servlet写的,对安全方面几乎没有,对执行的sql使用的是。2)写sql的时候用PreparedStatement。1)配置全局过滤器,通过关键字匹配来拦截恶意请求。1.在web.xml加入以下配置。本次使用的是配置全局过滤器。浏览器上直接访问项目。
E9板子启劢方式详解:Mybatis防止SQL注入实践
3. **限制SQL语句的动态性**:避免在Mapper XMLJava代码直接拼接SQL字符串,减少SQL注入的机会。 4. **输入验证**:在应用层面进行输入验证,例如检查用户输入是否符合预期的格式,对特殊字符进行转义等。 5. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值