MyBatis的SQL注入攻击和动态SQL

最新推荐文章于 2024-06-19 17:22:21 发布
最新推荐文章于 2024-06-19 17:22:21 发布
阅读量1.5k 收藏
点赞数
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36331657/article/details/104202945
版权

SQL注入的危害:
1、数据库被拖库(把数据从数据库拉取出来);
2、重要信息被泄露等;
注入攻击的本质,是把用户输入的数据当做有效代码执行;

举例:
当用户发送GET请求:
https://ke.qq.com/course.jsp?id=1
这是一个课程详情页面,会显示出课程的title和content,程序会接收id参数传递给SQL语句,SQL如下:
SELECT title, content FROM course WHERE id = 1

这是SQL的原义,也是程序员想要得到的结果,但是如果用户改变了id的内容,改为:

https://ke.qq.com/course.jsp?id=1 and 1=2 UNION SELECT username, password FROM admin
此时内部程序执行的SQL语句为:

SELECT title, content FROM course WHERE id = 1 and 1=2 UNION SELECT username, password FROM admin
密码被查询了出来;

Mybatis框架作为一款半自动化的持久层框架,其SQL语句都需要我们自己手动编写,此时就需要我们按照安全编码规范进行开发,以防止SQL注入的产生。
Mybatis框架SQL语句安全的写法(即JDBC预编译模式),可以写为:
select * from course where id=#{id}
这即可避免SQL注入漏洞的产生;

1.SQL注入的例子

案例一:
Select * from course where title like ‘%#{title}%’
由于这样写程序会报错,开发人员会将SQL改为:
Select * from news where title like ‘%${title}%’,
此时程序不再报错,但会产生了SQL语句拼接问题,如果Java代码未对用户输入的内容做处理可能产生SQL注入漏洞。
如果用户输入:%’ AND 1=1AND ‘%’=’
可将SQL查询语句设计如下:
select * from news where tile like concat(‘%’, #{title}, ‘%’)
采用预编译机制,避免SQL语句拼接问题,从根源上防止SQL注入漏洞的产生。

案例二:
select * from news where id in (#{id})
由于这样写程序会报错,开发人员将SQL查询语句修改如下:
Select * from news where id in (${id})
此时便引入了SQL语句拼接的问题,如果研发人员未对用户输入的内容做过滤,容易产生SQL注入漏洞。
uUserInfoMapper.selectByIn(“select user_name from u_user_info”);

where user_name in (${userName})
可使用MyBatis自带循环标签解决SQL语句动态拼接的问题:
select * from news where id in
<foreach collection=“ids” item=“item” open="(“separator=”," close=")">
#{item}

案例三:
Select * from news where title =‘动力节点’ order by ${time} asc,
产生了SQL语句拼接问题,有可能引发SQL注入漏洞。

案例四:
select * from user where ${column} = #{value}
其中 ${column} 会被直接替换,而 #{value} 会被使用 ? 预处理。
User userOfId1 = userMapper.findByColumn(“id”, 1L);
User userOfNameKid = userMapper.findByColumn(“name”, “kid”);
User userOfEmail = userMapper.findByColumn(“email”, “noone@nowhere.com”);
应该怎么做? 制定安全编码规范,不要出现SQL直接替换/拼接的问题,要采用预编译模式;

#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏动,正确写法如下:
Mysql: select * from t_user where name like concat('%', #{name}, '%')      
Oracle: select * from t_user where name like '%' || #{name} || '%'      
SQLServer: select * from t_user where name like '%' + #{name} + '%'

2.MyBatis动态SQL

根据不同条件拼接 SQL 语句是非常痛苦的,拼接时要确保不能忘记添加必要的空格,还要注意去掉列表最后一个列名的逗号,利用动态 SQL 这一特性可以彻底摆脱这种痛苦;
if --判断标签
choose (when, otherwise) --多项选择 ,与页面的 jstl 标签非常类似
trim (where, set) --修剪、格式化,添加前后缀的一个标签
foreach --循环

select * from news where 1 = 1 and title = #{title} and content = #{content} and owner = "zhangsan"
qq_320253624
关注
专栏目录
若依DataScopeAspect数据权限解析和ew.customSqlSegment源码解析
nalanxiaoxiao2011的博客
09-15 3744
若依 数据权限 角色 ew.customSqlSegment
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
heike_Ch的博客
06-19 1178
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
mybatis SQL注入攻击
Neven的博客
10-13 758
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能
要注意了!这样使用MyBatis框架,被攻击了!
weixin_47067712的博客
07-23 456
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文
Mybatis 框架下 SQL 注入攻击的 3 种方式
Memory1011的博客
11-16 70
转自:http://www.pinlue.com/article/2020/07/0715/0610984945608.html
Mybatis框架常见SQL注入攻击以及解决方案
weixin_44012027的博客
08-28 2144
1. 什么是SQL 注入 关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 在mybatis 中最常见的注入风险是书写的时候使用${} 来举一个很简单反例 select name from user_info where id = ${id} 正
mybatis动态SQL防止SQL注入
热门推荐
daydayupzzc的专栏
07-03 1万+
IvrNodeTreeMapper.java如下:package com.example.springbootannotationmybatis.mapper; import com.example.springbootannotationmybatis.domain.IvrNodeTree; import com.example.springbootannotationmybatis.sql...
MyBatis 框架下 SQL 注入攻击的 3 种方式
KHOST的博客
07-17 235
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 Mybatis中SQL语句需要我们自己手动编写或...
mybatissql_mybatis解决sql注入
12-22
2. **使用SafeMapper插件**:MyBatis社区提供了一个名为SafeMapper的插件,它可以自动检查SQL语句,确保所有的用户输入都被正确地转义,防止可能的SQL注入攻击。 3. **使用MyBatis的拦截器**:通过实现`Interceptor...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 通过使用预编译语句和存储过程来防止 SQL 注入攻击。例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以...
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
MyBatis 动态拼接Sql字符串的问题
09-01
MyBatis动态SQL,解决了SQL字符串拼接的痛苦。下文分步骤给大家详细介绍了MyBatis 动态拼接Sql字符串的问题,非常不错,感兴趣的朋友一起看下吧
MyBatisSQL注入攻击和防护——掌握技巧保护应用安全
程序员光剑
07-28 1228
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
这个时代,作为程序员可能要学习小程序
02-18 188
点击上方 "终端研发部"关注,星标或置顶一起成长 来源 |https://www.freebuf.com/vuls/240578.html 前言SQL注入漏洞作为WE...
mysql注入攻击_Mybatis 框架下 SQL 注入攻击的方式
weixin_31424199的博客
01-27 114
前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。MybatisSQL注入Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到x...
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2247
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
MybatisSQL注入攻击的3种方式
sainazuoan1的博客
10-21 459
MybatisSQL注入攻击的3种方式
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句...总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更新MyBatis版本等多种手段来综合保护系统安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值