ibatis的SQL注入,证实了我此前的想法

最新推荐文章于 2023-08-02 16:58:36 发布
最新推荐文章于 2023-08-02 16:58:36 发布
阅读量4.5k 收藏 1
点赞数
分类专栏: Ibatis 文章标签: sql ibatis query 单元测试 java 测试

在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!

sql语句:

Sql代码
  1. select  *  
  2.         from  ( select  1  from  poll  
  3.         <dynamic  prepend= " where " >  
  4.             <isNotEmpty prepend=" and "  property= "title" >  
  5.                 title like   '%$title$%'   
  6.             </isNotEmpty>  
  7.             <isNotEmpty property="used" >  
  8.                 <isEqual compareValue="true"  prepend= " and "  property= "used" >  
  9.                     <![CDATA[status & 2 > 0 and  status & 1 <= 0  and  status & 8 <= 0 ]]>  
  10.                 </isEqual>  
  11.             </isNotEmpty>  
  12.             <isNotEmpty prepend=" and "  property= "startTimeBegin" >  
  13.                 <![CDATA[ gmt_create >= #startTimeBegin# ]]>  
  14.             </isNotEmpty>  
  15.             <isNotEmpty prepend=" and "  property= "startTimeEnd" >  
  16.                 <![CDATA[ gmt_create <= #startTimeEnd# ]]>  
  17.             </isNotEmpty>  
  18.         </dynamic >  
  19.         limit 10000  
  20.         ) as  t   
select *
        from (select 1 from poll
        <dynamic prepend=" where ">
            <isNotEmpty prepend=" and " property="title">
                title like '%$title$%'
            </isNotEmpty>
            <isNotEmpty property="used">
                <isEqual compareValue="true" prepend=" and " property="used">
                    <![CDATA[status & 2 > 0 and status & 1 <= 0 and status & 8 <= 0 ]]>
                </isEqual>
            </isNotEmpty>
            <isNotEmpty prepend=" and " property="startTimeBegin">
                <![CDATA[ gmt_create >= #startTimeBegin# ]]>
            </isNotEmpty>
            <isNotEmpty prepend=" and " property="startTimeEnd">
                <![CDATA[ gmt_create <= #startTimeEnd# ]]>
            </isNotEmpty>
        </dynamic>
        limit 10000
        ) as t

 请关注此写法的:

Sql代码
  1. title  like   '%$title$%'    
title like '%$title$%'

存在SQL注入漏洞。

下面是一段单元测试:

Java代码
  1. PollQuery query =  new  PollQuery();  
  2. query.setCurrentPage(1 );  
  3. query.setPageSize(50 );  
  4. query.setTitle("1231%' or '1%' = '1" ); //很简单的写法:(   
  5. List<SnsPollDO> l = pollDAO.findPollList(query);  
  6. System.out.println(l.size())   
PollQuery query = new PollQuery();
query.setCurrentPage(1);
query.setPageSize(50);
query.setTitle("1231%' or '1%' = '1");//很简单的写法:(
List<SnsPollDO> l = pollDAO.findPollList(query);
System.out.println(l.size())

 测试结果(打印处的sql语句):

Java代码
  1. select * from poll   where    title like  '%1231%'  or  '1%'  =  '1%'    
1. select * from poll   where    title like '%1231%' or '1%' = '1%'

尽管 title 没匹配对,但是or后面那句是恒等的。哎!

看来下面的写法只是简单的转义下:

Sql代码
  1. title  like   '%$title$%'    
title like '%$title$%'

如何解决:

在oracle下面改成:title like '%'||#title#||'%',这样肯定是可以的。

但是在mysql中,上述写法是不行,还是有上面的问题的:

Sql代码
  1. select   *  from  poll  where   title  like   '%' ||?|| '%'    order   by  gmt_create  desc    limit ?, ?   
select  * from poll where  title like '%'||?||'%'  order by gmt_create desc   limit ?, ?

 还能查出结果来!哎!

得用:title CONCAT('%',#title#,'%')

Sql代码

select  *  from  poll   where   title  like  CONCAT( '%' ,?, '%' )   order   by  gmt_create  desc  limit ?, ?

呵呵,多次测试均没有发现问题!

 

------------------------------------------

以下读者注:

是否为:title like CONCAT('%',#title#,'%')

oswin_jiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题。SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
iBatis.Net(6):Data Map(深入)
weixin_34399060的博客
09-25 132
在上一篇中,我写了几个最最基本的DataMap映射,但是如果仅仅是这些功能的话,那iBatis真就有点愧对它的粉丝啦,我个人的理解,iBatis真的可以让开发者眼前一亮的特性在于它的动态SQL,在这一篇中,就会详细的阐述它 在一个数据映射定义文件中,可以存在多个 Cache Models,Type Aliases,Result Maps,Parameter Maps,Statements,...
mybatis如何防止SQL注入
最新发布
Lamb的博客
08-02 2240
sql注入解释:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是。
Ibatis自动解决sql注入机制
amqi6260的博客
11-23 174
疑问1:为什么IBatis解决了大部分的sql注入?(实际上还有部分sql语句需要关心sql注入,比如like)   之前写Java web,一直使用IBatis,从来没有考虑过sql注入;最近写php(新手),突然遇到一大堆sql注入问题,如sql语句: SELECT * FROM message WHERE message_id =$id; id通常允许输入数字或字符,如...
MyBatis 远程代码执行漏洞CVE-2020-26945
aq_money的博客
06-21 4299
mybatis缓存 报错 MyBatis组件介绍 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis。MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ord
Jackson CVE-2018-5968 反序列化漏洞
王嘟嘟的博客
03-05 671
同CVE-2017-15095一样,是CVE-2017-7525黑名单绕过的漏洞,主要还是看一下绕过的调用链利用方式。影响版本:至2.8.11和2.9.x至2.9.3。
sqlserver Ibatis XML自动生成工具
11-19
SQLServer Ibatis XML自动生成工具是一款实用的开发辅助软件,主要针对Java开发人员,特别是那些在项目中使用Ibatis作为持久层框架的开发者。这款工具能够显著提高开发效率,通过自动化的方式生成Ibatis所需的XML...
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
ibatis sql 语句的编写
04-05
ibatis sql 语句的编写 ,包括增删改查,很简单 很实用 ,对初学者是很好的选择
ibatis动态注入
11-12
ibatis动态注入
iBatisSQL注入
weixin_30349597的博客
07-24 84
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但...
使用ibatissql语句
m0_67379678的博客
09-07 774
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
ibatis执行like查询时要注意注入漏洞
java.lang.NullPointerException
07-08 324
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:   &lt;select id="getSchoolByName" resultMap="result"&gt; select * from tbl_school where school_name like '%$name$%' ...
ibatis解决sql注入问题
小白编程
05-28 286
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
iBatis解决sql注入
Hello World
04-28 1032
http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:na
iBATIS SQL Maps(一)
gaoshanliushui2009的专栏
02-23 428
iBATIS SQL Maps(一) 前段时间写了些 Hibernate 方面的 系列文章 ,网友们反映还不错。在接下来的时间里,我将会引入另外一种 O/R Mapping 解决方案 ——iBATIS ,本系列将沿用 Hibernate 系列文章的风格。 什么是 iBATIS ?     和众多的 SourceForge 开源项目一样, iBATIS 曾经也是其
iBatis解决sql注入问题的方法
czw698的专栏
09-28 1130
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的            name like #name#      但是它跟            name = #name#    没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:         name like '%$name$%' 但这时会导致sql注入
iBATIS-SqlMaps-2_cn.doc
12-08
该文档主要介绍了iBATIS SQL Maps的基本概念、功能以及使用方法。 iBATIS SQL Maps是一个持久化框架,用于在Java应用程序和关系型数据库之间进行数据交互。它提供了一种将数据库操作抽象为Java对象的方式,简化了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值