mybatis模糊查询防止通配符注入

最新推荐文章于 2022-07-26 16:18:18 发布
最新推荐文章于 2022-07-26 16:18:18 发布
阅读量977 收藏 3
点赞数 1
分类专栏: mysql SpringBoot 文章标签: 模糊查询 INSTR函数 SpringCloud 全局过滤器 SQL优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31452291/article/details/119872563
版权

模糊查询一般这么写

<if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''">
    AND a.materials_name LIKE CONCAT('%',#{dto.specialSubjectName},'%')
</if>

问题:
当用户输入了% _ 等通配符之后,若后端不进行过滤处理的话,传到数据库就是这个样子的。

 AND a.materials_name LIKE '%%%'

这不太好吧。。。。。

解决方法:

换一种写法:instr() 函数
INSTR(STR,SUBSTR) 在一个字符串(STR)中搜索指定的字符(SUBSTR),返回发现指定的字符的位置(INDEX);
所以 只需要 instr() > 0 即可。

Demo

<if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''">
  AND instr(a.materials_name,#{dto.specialSubjectName})>0
</if>

SpringCloud的话也可以在网关写一个全局的过滤器,统一检查前端请求过来的参数,进行过滤。也可以。

一只渣渣程序猿
关注
专栏目录
c#sql防注入模糊查询_NET开发-在SQL Server数据库,使用like结合通配符实现模糊查询...
weixin_29625757的博客
12-31 480
1.概述在企业的.NET信息系统,匹配查询和模糊查询使用频率是非常高的,像百度搜索使用的就是模糊查询,只要输入任意1个关键字,就可以查询出来所有与该关键字相关的信息。模糊查询例如,查询姓名为李小强的数据,则要使用姓名=李小强进行查询,这是相等查询。什么是模糊查询呢?模糊是指只匹配某一个字符或多个字符,然后间或两边为任意字符,这就是模糊查询,如查询姓李的学生,则就是模糊查询。与之匹配的有李小强、...
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1181
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
MyBatis的Like查询用Concat解决模糊查询'%'放置至Sql语句,同是防止sql注入
何阳的博客
05-07 5373
Concat函数:Concat函数可以连接一个或者多个字符串,若其一个为null,则返回null用Concat(org1,org2,....)将 %与 #{name}与连接在一起,避免将sql%放到java代码(即避免硬编码)语句如下:...
MyBatis模糊查询防止通配符查询
weixin_41894177的博客
03-31 1153
错误示例; 当传参为%时,where 条件失效 select * from test as t1 where t1.tiltle like concat('%',#{title},'%');
模糊查询LIKE语句的SQL注入预防
校尉的博客
11-24 3633
一、在iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入; [sql] view plain copy    select id="INSTITUTIONS-GET-PARAMS" resultMap="INSTITUTIONSDO-MAP" parameterClass="java.util.Map">  
模糊查询输入通配符的问题
weixin_30810583的博客
07-20 501
模糊查询输入通配符的问题: 比如说在搜索框输入'%'、'_'、'/'时会出错,因为这些特殊符号在sql语句查询的时候是有他特定的意义的,所有这里要对前台传过来的keyword搜索内容进行排除通配符处理,我是在工具类写了一个方法代码如下: /*** 根据搜索特殊字符串* @param id* @return 取不到返回null*/public static String spec...
mybatis 模糊查询的实现方法
09-09
总结一下,MyBatis模糊查询主要是通过`#`符号结合`%`通配符来实现的,它既保证了安全性,又提供了灵活的查询能力。在实际开发,要根据具体需求选择合适的查询方式,并注意防止SQL注入问题。希望这篇介绍能帮助你...
MyBatis模糊查询
10-20
### MyBatis模糊查询知识点详解 #### 一、MyBatis简介 MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以通过...
MyBatis模糊查询语句
08-31
MyBatis这个轻量级的持久层框架模糊查询是通过SQL语句来实现的,这使得我们可以灵活地构建复杂的查询逻辑。下面将详细介绍MyBatis模糊查询语句及其应用。 1. 模糊查询基本概念: 模糊查询通常使用SQL的...
mybatis模糊查询遇到的问题
qq_43516511的博客
08-11 561
Mybatis和Oracle的模糊查询#和$的模糊查询二、 jdbcType属性三、关于参数问题导致的mybatis异常 今天编写mybatis模糊查询的sql语句遇到了模糊查询的问题,我因为看其他资料,都说在mybatis需要尽量用#符号来代替$符号,以防止sql注入以及其他问题,于是就出现了许多问题。 以下是xml文件sql语句,其的_parameter和jdbcType在下面有相关介绍。 <select id="getKeyInfoJson" resultMap="keyInfoRe
MyBatis 防止 % _ sql 注入攻击 解决方法
RobertTony_Java的博客
04-28 6788
首先说思路,在mybatis防止sql注入,目前只能在Controller层进行转义,后台sql进行查询,然后在controller层转义回来,返回到前台。 理论上应该可以在dao.xml进行判断   但是目前还没写出来。Orz 上代码 @RequiresPermissions("member:member:view") @RequestMapping(value
mybatis模糊查询去除特殊符号%(百分号)和_(下划线)
热门推荐
gm371200587的博客
07-26 1万+
在使用mybatis模糊查询时,有俩个特殊符号需要注意: %:相当于任意多个字符; _:相当于任意的单个字符; 根据需求可以选择甄别,如果有要求排除特殊符号,那么写法如下: 在控制层接收到对应值得地方,加入replaceAll(): if(param != null){ map.put("param", param.replaceAll("%", "/%").rep...
Mybatis防止SQL注入攻击
I'm Baymax D
08-05 1586
相比于ORM框架,Mybatis只能被称为半自动持久层框架,它其实是将JDBC进行了轻量级的封装,提供SQL映射能力,便于更为方便地管理项目的SQL代码。 JDBC在使用时存在SQL注入攻击的风险,同样需要进行SQL编写的Mybatis同样也有这个问题,在使用时需要注意,防止被别有用心的人利用。 那么在Mybatis如何避免SQL注入攻击呢? 答:在SQL映射文件尽量使用#指示符标识参...
MyBatis如何防止SQL注入
aodaidi6752的博客
09-13 1451
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
mysql模糊查询,避免输入%,全部用来通配符解决
二手程序员
03-25 1596
mysql 用like模糊查询 怎么查包含了%号的字符串 mysql 如题 select * from table where column like '%%%'间的百分号怎么写 like '%\%%'就可以了 要查%或者_,需要使用escape,转义字符后面的%或_就不作为通配符了,前面没有转义字符的%和_仍然起通配符作用 Sql代码 select username from gg_user where username like '%/%%' escape '/'; ..
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 8929
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
MyBatis 如何防止SQL注入 —— 底层原理
demo_yo的博客
03-15 1890
一、SQL注入 SQL注入是在Web页面的查询入口传入SQL非法参数,在事先定义好的查询语句的结尾上添加额外的SQL语句,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器执行,威胁数据库数据信息安全。 二、SQL注入方法 由于编写程序时未对用户输入数据的合理性进行判断,导致攻击者能在SQL的注入夹杂代码进行执行,并通过页面返回的提示,获取进行下一步攻击所需的信息。根据输入的参数,可将SQL注入方式大致分为两类:数字型注入、字符型注入。 1. 数字型注入 当输入的参数为整型时,如ID、年龄、
Mabatis模糊查询防止sql注入
雏鸟飞翔之路
07-17 566
  #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   select * from user where name like concat('%', #{name}, '%') Oracle:  select * from use...
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 890
mybatis模糊查询防止sql注入
mybatis模糊查询带参数
最新发布
07-28
Mybatis有两种常用的模糊查询带参数的方法。第一种方法是使用like concat函数,它可以通过连接字符串的方式实现模糊查询。具体使用方式如下:在SQL语句使用concat函数连接三个参数,分别是通配符%,传入的参数,和再次使用通配符%。例如: ``` <if test="blockPushLog.blockName!=null and blockPushLog.blockName!=''"> and b.BLOCK_NAME like CONCAT('%',#{blockPushLog.blockName},'%') </if> ``` 这种方法的缺点是在某些数据库可能不支持多个参数,而且存在SQL注入的风险。 第二种方法是使用bind函数,它可以将模糊查询的关键字放在mapper文件,只将需要匹配的关键字作为参数传入。具体使用方式如下:在SQL语句使用bind函数定义一个自定义名称和传入的参数,然后在like语句使用这个自定义名称。例如: ``` <if test="blockPushLog.blockSearch!=null and blockPushLog.blockSearch!=''"> <bind name="blockNameLike" value="'%'+blockPushLog.blockSearch+'%'"/> and b.BLOCK_NAME like #{blockNameLike} </if> ``` 这种方法的优点是兼容性强,可以预防SQL注入,因此更安全。 综上所述,第二种方法更推荐使用,因为它更具有兼容性和安全性。同时,第二种方法也更加方便,可以将匹配符放在mapper文件,提高代码的可读性和维护性。 #### 引用[.reference_title] - *1* *2* [mybatis模糊查询方法](https://blog.csdn.net/u013013790/article/details/122052896)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【SSM】09-Mybatis实现模糊查询的两种方法](https://blog.csdn.net/m0_50964976/article/details/122509148)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值