五.SpringMVC+MyBatis搭建安全与性能

最新推荐文章于 2024-01-28 14:32:25 发布
最新推荐文章于 2024-01-28 14:32:25 发布
阅读量517 收藏
点赞数
分类专栏: mybatis 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31390937/article/details/70991202
版权

一.XSS跨站脚本,SQL注入
XSS跨站脚本:
如:盗取用户Cookie、破坏页面结构、重定向到其它网站

<html>
    <head>
       <title>XSS测试</title>
    </head>
    <body>
       页面内容:<%=request.getParameter("content")%>
    </body>
</html>

http://www.domain.com/test.jsp?content=<script>alert('XSS注入');</script>

SQL注入:SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串
如:

http://www.example.com/user?userId=1
select * from table_user where userId=${userId}

但是:http://www.example.com/user?userId=1 or 1=1
select * from table_user where userId=1 or 1=1
偷来数据库信息

二.防止:定义一个Filter,使用HttpServletRequestWrapper类截获并处理参数:

定义一个类extends HttpServletRequestWrapper。

filter中:

xxxwapper request = new xxxwapper((HttpServletRequest) servletRequest);
filterChain.doFilter(request,servletResponse);

三.提升性能:mybatis缓存
三个配置就搞定:

第一个需要配置config.xml,开启缓存
<setting name="cacheEnabled" value="true" />
第二个需要在Mapper文件头指定使用缓存
<cache readOnly="true" size="500" flushInterval="120000" eviction="LRU"/>
第三个配置,在具体的SQL语句处指定使用缓存,默认开启
<select id="selectCount" useCache="true">
...
</select>

缓存策略:
LRU,最近最少使用,移除最长时间不被使用的对象,默认策略
FIFO,先进先出,按对象进入缓存的顺序来移除它们
SOFT,软引用,移除基于垃圾回收器状态和软引用规则的对象
WEAK,弱引用,更积极地移除基于垃圾收集器状态和弱引用规则的对象

HarryChoy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全——Mybatis防止SQL注入& ssrf漏洞利用& DNS污染&同源策略
m0_61506558的博客
03-10 961
CORS可以让跨域请求携带认证信息,例如cookie、session等,这也意味着攻击者可以通过伪造请求,获取目标网站的认证信息,从而访问目标网站的用户隐私信息或执行其他恶意操作。SSRF重绑定是一种利用SSRF漏洞的攻击技术,它利用了目标服务器上的DNS解析功能,将攻击者控制的域名绑定到目标服务器的内部IP地址上,从而实现对内部资源的访问。JSONP的请求地址是明文传输的,攻击者可以通过嗅探网络流量,获取JSONP请求中携带的信息,例如API密钥、用户ID等,从而攻击服务器或者访问用户隐私信息。
用 Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用
陈鹏万里
08-02 3768
Spring Security可谓是在权限管理领域中公认的最强框架,只是学习难度稍微有点大,要想拥有强大的功能总得付出点代价,是吧 :)   现在我们就用用 Spring Security 4+Spring MVC+Spring4 来构建一个web应用。 首先需要创建一个Spring4+Spring MVC 的web工程,可以参考我的另一篇博文:http://blog.csdn.net/qq
Mybatis #和$使用的安全性提醒
如漩涡的博客
01-25 708
使用$符号一般情况下是在 LIKE 模糊查询的时候,例如  SELECT * FROM User WHERE name LIKE '%${name}%' 但是这个情况很容易被恶意注入SQL语句,安全性不高,数据别人一注入就都被找到了,所以能别用$就别用了,尽量用#来实现 若像LIKE这样的又要用到$的时候,可以用这样来替代 SELECT * FROM User WHERE name LIK
mybatis比mysql安全吗_MyBatis看这一篇就够了
weixin_30610431的博客
02-10 518
MyBatis看这一篇就够了​MyBatis是一个优秀的基于Java的持久层框架,它内部封装了JDBC;试用MyBatis框架开发者只需要关注SQL语句本身。而不需要花费大量精力去处理:加载驱动、创建连接、创建Statement等繁杂过程。​MyBatis通过xml或者注解的方式将要执行的各种Statement配置起来,并通过Java对象和Statement中SQL的动态参数进行映射生成最终执行的...
mybatis SQL注入攻击
Neven的博客
10-13 750
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能
spring5.x+springmvc5.x+mybatis3.5x+tomcat9+jdk8+maven 项目框架搭建 1.1版本
03-11
本项目框架搭建基于"spring5.x+springmvc5.x+mybatis3.5x+tomcat9+jdk8+maven",这是一个经典且广泛使用的Java开发配置。下面将详细阐述这些组件的功能、相互关系以及如何进行集成。 1. **Spring 5.x**: Spring是...
maven+springMVC+mybatis+velocity+mysql+junit项目框架搭建
11-06
本项目框架“maven+springMVC+mybatis+velocity+mysql+junit”提供了一种高效、灵活且可维护的解决方案。以下将详细讲解这些组件及其作用。 1. Maven: Maven是一个项目管理工具,用于构建、依赖管理和项目信息...
spring+springmvc+mybatis搭建的一个酒店管理系统附带mysql数据库
02-18
在本项目中,我们利用Spring、SpringMVCMyBatis三大框架构建了一个完整的酒店管理系统,同时配合MySQL数据库存储数据,实现高效稳定的业务处理。这是一个经典的Java Web开发实践,下面将详细阐述其中涉及的关键...
spring+springmvc+mybatis搭建的一个考勤管理系统附带mysql数据库
04-25
本文将详细介绍如何使用Spring、SpringMVCMyBatis三大框架来搭建这样一个系统,并结合MySQL数据库进行数据存储。 一、Spring框架 Spring作为Java领域中的核心框架,提供了依赖注入(Dependency Injection, DI)和...
Spring+Springmvc+mybatis搭建人事管理系统.zip
最新发布
03-03
Java是一种高性能、跨平台的面向对象编程语言。它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种简单、健壮、可移植、多线程、动态的语言。Java的主要特点和优势...
维护:springboot + springmvc +Spring安全性+ mybatis + PageHelper(Mybatis分页插件)+ druid +(mavengradle)+百里香叶+ bootstrap组成的框架,基于Jersey,Swagger,SwaggerUi的Restful API
02-05
维护系统 用java语言+ springboot + springmvc + mybatis +(maven / gradle)搭成的框架 用thymeleaf模板+引导程序 此系统只为维护另一个项目快速查询问题而用,也是练习项目。 此系统使用了mybatis的通用分页插件 分页插件地址是: : 还使用的德鲁伊的连接池地址是: : springboot地址: : thymeleaf地址: : bootstrap地址: : 加上spring security安全模块 添加基于Jersey的RestfulAPI 文档地址: https://localhost:8443/a
ibatis[mybatis]的安全加固
诗剑书生的专栏
07-14 4434
对于mapping框架,其实预编译语句已经解决了绝大多数的sql注入。但是对mapping如果支持动态语句,就和程序拚接一样存在sql注入的可能。所以在ibatis[mybatis]中,安全加固主要针对 $ 符号拚接的动态语句select * from userinfo where name = {#name} oder by $orderColumn$  $sortMode$这是一种非常典型的场
mybatis安全模糊查询
qq_34657993的博客
06-08 331
select                     from user           where name like CONCAT('%',#{name},'%' )       //注意:where name like ‘%${name}%’         //为什么说是安全呢?因为还有一种不安全的:where name like ‘%${name}%’  这种不是预编译功
MyBatis安全性与权限控制
禅与计算机程序设计艺术
01-28 748
1.背景介绍 MyBatis是一款流行的Java持久层框架,它可以简化数据库操作,提高开发效率。在实际应用中,MyBatis安全性和权限控制是非常重要的。在本文中,我们将深入探讨MyBatis安全性与权限控制,并提供一些实用的建议和最佳实践。 1. 背景介绍 MyBatis作为一款流行的Java持久层框架,在许多企业应用中得到了广泛的应用。然而,随着应用的扩展和复杂化,MyBatis的安...
mybatis线程安全
weixin_41175789的博客
02-10 1518
一、 mybatis实现方式 mybatis提供了一个DefaultSqlSession,而它又是线程不安全的, 所以使用的时候应该每次获取新的,我们看下mybatis如何使用: mybatis的SqlSessionFactory提供的默认实现为DefaultSqlSessionFactory, 而我们每次使用时,是SqlSession sqlSession = sqlSessionFactory.openSession(); DefaultSqlSessionFactory.java @Override
MyBatis的数据库连接池的安全
禅与计算机程序设计艺术
01-25 503
1.背景介绍 在现代应用程序开发中,数据库连接池是一个非常重要的组件。它可以有效地管理数据库连接,提高应用程序性能,并降低数据库负载。MyBatis是一个流行的Java数据访问框架,它提供了数据库连接池的功能。在本文中,我们将讨论MyBatis的数据库连接池的安全性,以及如何确保其安全性。 1. 背景介绍 MyBatis是一个基于Java的数据访问框架,它提供了对数据库的操作功能,使得开发人...
如何有效预防脱库
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-08 702
本篇不从DBA、网络架构层面来讲述数据安全,这部分有很专业的架构和云上产品来解决,本篇重点从开发人员角度讲述如何避免数据安全的漏洞。相信大部分人都看到过这样的新闻,某某论坛泄漏了用户密码,...
实战SpringMVC+Mybatis搭建性能安全站点
weixin_33842304的博客
01-11 49
http://www.imooc.com/article/14165
Spring Boot Security + MyBatis 实现登录的安全控制机制
汉南最後の読書人
11-16 1492
篇幅有限,前端的页面代码就不赘述了,直接分享后端逻辑代码: 1.Maven项目对象依赖文件Pom.xml &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.ap...
SSM框架整合详解:Spring+SpringMVC+MyBatis搭建教程
"SSM框架搭建教程" SSM框架,即Spring、SpringMVCMyBatis的集成,是Java开发中的常用组合,提供了强大的企业级应用开发能力。下面将详细介绍这三个框架的基本概念、整合步骤以及各自的作用。 1、基本概念 1.1、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值