防止前台传符号MyBatis处理xml文件中的SQL条件问题

最新推荐文章于 2023-08-24 16:32:48 发布
最新推荐文章于 2023-08-24 16:32:48 发布
阅读量149 收藏
点赞数
分类专栏: Java 文章标签: mysql xml MyBatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36859561/article/details/108003518
版权

问题如下所示,当你以中文形式输入时,没有输鼠标往旁边一点,输入框的字符就会带入单引号,然后传入后台,以至于报错

后台如图所示:

 

第一种方式就会出现报错问题,如下所示:

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
      and a.shipper_no like '%${ew.shipperNo}'
  </if>

 

第二种方式不会出现报错问题,如下所示:

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
       and a.shipper_no like concat('%',#{ew.shipperNo},'%' )
  </if>

 

 第三种方式不会出现报错问题,如下所示:

 

  <if test="ew.shipperNo != null and  ew.shipperNo !='' ">
      and a.shipper_no like "%"#{ew.shipperNo}"%"
  </if>

喔用的是第二种比较好,喔推荐也用第二种以函数方式衔接。

代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 303
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
CSDN_KONGlX的博客
06-16 398
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的...
mybatis foreach 错误_MyBatis 动态SQL where/if/choose/bind介绍
weixin_39541189的博客
11-28 241
当我们需要写复杂的 SQL 语句,往往需要拼接,而拼接 SQL ,稍微不注意,由于引号,空格等缺失可能都会导致错误。  那么怎么去解决这个问题呢? 我们可以使用mybatis的 动态SQL,通过 if, choose, when, otherwise, trim, where, set, foreach等标签,可组合成非常灵活的SQL语句,从而在提高 SQL 语句的准确性...
mybatis模糊查询去除特殊符号%(百分号)和_(下划线)
gm371200587的博客
07-26 1万+
在使用mybatis的模糊查询时,有俩个特殊符号需要注意: %:相当于任意多个字符; _:相当于任意的单个字符; 根据需求可以选择甄别,如果有要求排除特殊符号,那么写法如下: 在控制层接收到对应值得地方,加入replaceAll(): if(param != null){ map.put("param", param.replaceAll("%", "/%").rep...
mybatis模糊查询防止通配符注入
一只渣渣程序猿
08-23 988
模糊查询一般这么写 <if test="dto.specialSubjectName !=null and dto.specialSubjectName !=''"> AND a.materials_name LIKE CONCAT('%',#{dto.specialSubjectName},'%') </if> 问题: 当用户输入了% _ 等通配符之后,若后端不进行过滤处理的话,到数据库就是这个样子的。 AND a.materials_name LIKE '%.
mybatis模糊查询特殊符号%(百分号)和_(下划线)不转义
qq_28433521的博客
06-02 4123
在使用mybatis的模糊查询时,有两个特殊符号需要注意: %(百分号):相当于任意多个字符; _(下划线):相当于任意的单个字符; 处理方法: 1: (查询条件参数,比如"xx%_x")param.replaceAll("%", "/%").replaceAll("-", "/-") 2-1: select * from table where column like concat('%',#{param},'%') escape '/'; 2-2: vc.title like conc
xml文件sql语句问题
weixin_44706350的博客
05-14 880
nested exception is org.apache.ibatis.type.TypeException: Could not set parameters for mapping: ParameterMapping{property=‘path1’, mode=IN, javaType=class java.lang.String, jdbcType=null, numericScale=null, resultMapId=‘null’, jdbcTypeName=‘null’, expressi
MybatisXML的文件SQL语句与动态sql标签(trim|where|set|foreach|if|choose|when|otherwise|bind)
头好重好重的博客
11-20 9658
MybatisXML的文件SQL语句与动态sql标签(trim|where|set|foreach|if|choose|when|otherwise|bind)
Mybatis关于xmlsql语句的一些注意事项,再补充
Sonny_w的博客
10-16 1044
1、在xmlsql语句,不能直接用大于号、小于号要用转义字符 如果用小于号会报错误如下: org.apache.ibatis.builder.BuilderException: Error creating document instance.  Cause: org.xml.sax.SAXParseException: The content of elements must c
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防
互联网架构小马的博客
10-20 586
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件MybatisSQL语句需要我们自己手动编写或者用generator自动生成
MyBatis进阶:告别SQL注入!MyBatis分页与特殊字符的正确使用方式
最新发布
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
08-24 1255
本文将介绍MyBatis分页与特殊字符的正确使用方式,帮助开发者避免常见的安全风险。通过学习正确的配置和使用方法,我们可以提高应用程序的安全性和稳定性。掌握这些技巧,让我们期待更顺畅的开发过程!
MyBatis 特殊字符转义拦截器 针对(_、\、%)
zhouzhiwengang的专栏
04-27 5271
一、问题反馈 今天公司测试向我反馈,系统用户模糊查询功能在用户名称包含特殊字符时(_、\、%)无法正常查询结果。 二、问题验证 1、当like包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段包含有_特殊字符的结果条目 2、like包括%时,与1相同 3、like包含\时,带入查询时,%\%无法查询到包含字段有\的条目 三、问题解决思路 1、采用MyBatis 拦截器机制,处理模糊查询包含特殊字符(_、\、%) 四、核心
【Java字符操作】避免模糊查询%等占位符时无效
Big Smile
03-17 1981
编程语言:java框架:SSM模糊查询实现方式:&lt;if test="goodsCode != null"&gt; and (goods_code like CONCAT(CONCAT('%', #{goodsCode}), '%') &lt;/if&gt;用concat拼接mybatis下来的值拼接到sql效果:        在搜索框输入%字符时,即使数据有带%的数据,...
mybatis 绑定参数不带引号(${}与#{}的区别)
Bejpse的博客
08-22 4238
默认情况下,使用#{}参数语法时,MyBatis 会创建PreparedStatement参数占位符,并通过占位符安全地设置参数(就像使用 一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在 SQL 语句直接插入一个不转义的字符串。当 SQL 语句的元数据(如表名或列名)是动态生成的时候,字符串替换将会非常有用。提示用这种方式接受用户的输入,并用作语句参数是不安全的,会导致潜在的 SQL 注入攻击。其${column}会被直接替换,而#{value}会使用预处理
MyBatis 防止 % _ sql 注入攻击 解决方法
RobertTony_Java的博客
04-28 6808
首先说思路,在mybatis防止sql注入,目前只能在Controller层进行转义,后台sql进行查询,然后在controller层转义回来,返回到前台。 理论上应该可以在dao.xml进行判断   但是目前还没写出来。Orz 上代码 @RequiresPermissions("member:member:view") @RequestMapping(value
mybatis xml sql
lud
11-12 623
批量操作 /** * 批量删除/启用 禁用 (更新操作) * * @param examExt * @return */ int batchOperationWithUpdate(ExamExt examExt); // 批量处理【启用/禁用/删除】 List <Integer> examIds; <!-- 批量删除 / 启用 / 禁用 --> ......
myBatis之动态sql以及分页
Cat_Jay_Fish的博客
12-14 1138
目标 1.mybatis动态sql 2.模糊查询 3.查询返回结果集的处理 4.分页查询 5.特殊字符处理 一、mybatis动态sql 常用:If、foreach if标签解释: foreach: 1、BookMapper.xml增加foreach标签 <select id="selectBooksIn" resultType="com.mwy.model.Book" parameterType="java.util.List"> select * from ..
mybatis模糊查询(且防sql注入)
qq_56047419的博客
07-26 896
mybatis模糊查询防止sql注入
Mybatissql语句下划线_,百分号%的转义处理---escape的作用
热门推荐
杨杨得懿的博客
05-11 3万+
escape 是sql的关键字,定义转义字符。如下:SELECT * FROM student t where t.name like '%/%' escape '/';执行结果为:SELECT * FROM student t where t.name like '%%' escape '/';执行结果为:注:由此可见,escape '/' 是指用'/'说明在/后面的字符不是通配符,而是普通符...
mybatis递参数时,会加上单引号
lixilai_rjkf的博客
11-26 3467
1) 使用#{参数}入会加上单引号,sql语句解析是会加上"", 比如 select * from table where name = #{name} ,入的name为小李,那么最后打印出来的就是 select * from table where name = ‘小李’,就是会当成字符串来解析,这样相比于$的好处是比较明显对的吧,#{}参能防止sql注入,如果你入的参数为 单引号',那么如果使用${},这种方式 那么是会报错的, 2)${} 另外一种场景是,如果你要做动态的排序,比如..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值