Mybatis预防SQL注入之like模糊查询整理

最新推荐文章于 2024-04-23 18:23:41 发布
最新推荐文章于 2024-04-23 18:23:41 发布
阅读量6.8k 收藏 18
点赞数 6
分类专栏: Java SQL 文章标签: SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34868715/article/details/100734095
版权
Java 同时被 2 个专栏收录
14 篇文章 0 订阅
订阅专栏
SQL
4 篇文章 0 订阅
订阅专栏

#{}是经过预编译的,是安全的;

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

:如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。

‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析时,参数是带引号的,而 ${}传入值,sql解析时,参数是不带引号的。

一、mybatis中 $与#

在mybatis中的$与#都是在sql中动态的传入参数。

eg:select id,name,age from student where name=#{name}  这个name是动态的,可变的。当你传入什么样的值,就会根据你传入的值执行sql语句。

二、使用$与#

#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。

${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。

select id,name,age from student where name=#{name}   -- name='cy'  
select id,name,age from student where name=${name}   -- name=cy

三、Mabatis中模糊查询防止sql注入

#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;

${xxx},使用字符串拼接,可以SQL注入;

但like查询会有漏洞,正确写法如下:

Mysql:

select * from user where name like concat('%', #{name}, '%')

Oracle:

select * from user where name like '%' || #{name} || '%'

SQLServer:

select * from user where name like '%' + #{name} + '%'

四、不得不使用$的情况

但是如果使用在order by 、group by中就需要使用 $.

五、防止SQL注入的要点

  • 永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。
  • 永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  • 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
  • 不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
  • 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
  • sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOF SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
Skylar.Liu
关注
  • 6
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Mybatis框架SQL注入指南
08-18
1. 模糊查询:如`SELECT * FROM NEWS WHERE title LIKE '%#{title}%'`,使用`#`会报错,但直接替换为`$`会导致注入。正确的做法是使用`CONCAT`函数,如`SELECT * FROM NEWS WHERE title LIKE CONCAT('%', #{title}, ...
MyBatis中的模糊查询语句
08-31
MyBatis模糊查询不仅限于简单的`LIKE`操作,还可以结合其他SQL函数,如`SUBSTRING`、`INSTR`等,实现更复杂的模糊匹配逻辑。同时,MyBatis的动态SQL特性使得我们可以根据不同的业务需求灵活构造查询语句。 总的来...
mybatis使用like模糊查询sql注入写法
HelloWorld
04-11 789
在使用like模糊查询时,一般写法是:select * from user where username like "%三%"。也可以写为:select * from user where username like "%"'三'"%"。根据这种写法使用#{}可以写为: select * from user where username like "%"#{valu...
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1096
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
mybatis模糊查询应先处理好参数,再进行查询,sql注入
最新发布
Samin的博客
04-23 358
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3074
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
mybatissql语句的like语句写法
QQ00821的博客
12-10 1919
> 通用 SELECT * FROM user WHERE 1 = 1 <if test="name != null and name != ''"> <bind name="pattern" value="'%' + _parameter.name + '%'" /> AND name LIKE #...
MyBatis】 动态SQL——模糊查询 LIKE
梦里逆天的博客
12-16 2401
一、like '%?%' SELECT * FROM t_usr WHERE name like '%${name}%' SQL解析为:SELECT * FROM t_usr WHERE name like '%海%' 传参必须用${}不能用#{},这样写的弊端是不安全,不能sql注入 有关LIKE使用,请参见:https://blog.csdn.net/wrs120/articl...
Mybatis like 查询 SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 8875
Mybatis like 查询 SQL注入方法相关原理和解决方法整理
利用MyBatis进行不同条件的like模糊查询的方法
08-27
MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊查询 模糊查询是指在数据库中查询包含...
MyBatis实现模糊查询的几种方式
08-27
MyBatis实现模糊查询的几种方式 MyBatis是一款流行的基于Java的持久层框架,它提供了强大灵活的方式来与数据库进行交互。在实际开发中,我们经常需要实现模糊查询来满足业务需求。今天,我们将探讨MyBatis实现模糊...
mybatis ${} sql注入
建伟博客
03-22 4865
mybatis中${}的sql注入解决方案主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议首先#{}和${}在预编译中的处理是不一样的。#{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句:select * from user where name = ?;${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成sele...
mybatis中的like查询,$取值时sql注入和通配符注入,#取值时通配符注入
luoyong at csdn
12-11 8900
mybatis中用like查询时,如果用户输入的值有"_"和“%”,则会出现这种情况: 用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcde"等等,用户要查询"30%"(注:百分之三十)时也会出现问题。 测试后发现不管你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值时还存在sql注入的问题。 为了解决这些问
MybatisMybatis如何sql注入
AliceNo的博客
01-03 6241
在软件开发过程中,数据安全一直是至关重要的一环。SQL 注入攻击是一种常见而危险的威胁,攻击者通过恶意构造 SQL 语句,试图绕过应用程序的合法性检查,访问、修改或删除数据库中的数据。MyBatis 作为一款流行的持久层框架,提供了多种机制来SQL 注入攻击,开发者应当充分利用这些机制,保障应用程序的数据安全性。在应对 SQL 注入攻击时,MyBatis 的参数化 SQL 语句、动态 SQL 标签以及拦截器等功能为开发者提供了有力的支持。
解决SQL注入(Java)
ilqgffvramusm2864的博客
04-12 5532
​​​​​​ JAVASQL INJECTION 0x01 简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 0x02 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 更多请参考 htt..
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 3235
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
mybatis 模糊查询 like 语句该怎么写?
java小白翻身
04-03 3036
MyBatis 中,使用like关键字进行模糊查询,可通过在 SQL 语句中使用concat()函数将需要查询的关键词拼接到 SQL 语句中实现。在 MyBatis-Plus 中,使用类构建查询条件,通过调用like方法进行模糊查询,用于获取对应实体的属性并指定查询关键词。总的来说,模糊匹配是 SQL 查询中比较常用的一种方式,MyBatisMyBatis-Plus 都能够很方便地支持模糊查询,具体实现根据项目需要进行选择。
Mybatis中Like 的三种使用方式
qq_43842093的博客
11-22 2527
推荐使用第三种方式进行模糊查询
mybatis sql like模糊查询
07-28
使用 MyBatis 进行模糊查询可以使用 SQL 的 `LIKE` 关键字配合 `%` 和 `_` 进行通配符匹配。以下是一个示例: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE '%${name}%' </select> ``` 在这个示例中,`getUserByName` 是查询语句的唯一标识,`User` 是结果的返回类型。`${name}` 是使用 `${}` 语法引用传入的参数值。 在上述示例中,我们使用了 `%` 通配符来匹配任意字符的任意长度,这意味着在 `name` 字段的任意位置都可以包含传入的参数值。如果要进行精确匹配,可以根据需要修改通配符的位置。 请注意,在使用 `${}` 语法来引用参数值时,MyBatis 不会对参数进行预编译,这可能会导致 SQL 注入的安全风险。为了避免这个问题,建议使用 `#{}` 语法来引用参数值,如下所示: ```xml <select id="getUserByName" resultType="User"> SELECT * FROM users WHERE name LIKE CONCAT('%', #{name}, '%') </select> ``` 在这个示例中,我们使用 `CONCAT` 函数来拼接 `%` 和参数值,并且使用 `#{}` 语法来引用参数值。这样做可以确保参数值会被正确地进行预编译,提高查询的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值