解决自定义排序防止sql注入

最新推荐文章于 2024-02-05 17:41:31 发布
最新推荐文章于 2024-02-05 17:41:31 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: java 文章标签: sql注入 type类型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41913879/article/details/93872201
版权

1、场景 :
页面列表需要按照指定列排序,前端向服务端传入排序参数,Sorted对象包含排序字段prop和排序方式order。例如要按照id倒序排序。前端传参{prop:"id",order:"desc"} ,后端接收后生产sql语句: select * from table1 order by id desc 看似没有问题,假如该接口被恶意攻击者知道,传入参数{prop:"id",order:";delete from table1"},后端接收后生产sql语句: select * from table1 order by id ;delete from table1 ,结果就是导致表数据被删。
2、解决方法:
Sorted对象中的order参数防sql注入相对比较简单。前后端约定一个枚举,前端传枚举code,后端转化为msg便可以解决。比如枚举1对应asc,2对应desc,前端只需要传1或2,后端按照枚举转化就可以避免sql注入。那么身为变量的prop该如何防止sql注入呢?因为是变量,枚举当然行不通。下面我来说说我的解决方法(结合实际业务)。
大致思路是这样的:后端接收到排序参数时去判断prop变量值是否包含在列表属性内,若包含在内,转化为排序语句,若非包含在内,转为空排序或默认排序语句。
这个逻辑放在baseParam<T>类型去处理,继承他的子类把列表属性类以泛型传入进来,再做反射获取属性列表,再做上述业务处理。
做反射关键要拿到子类的class,这里即要拿到泛型T的class.这里要用到java中的Type类型

Type genType = getClass().getGenericSuperclass();  
Type[] params = ((ParameterizedType) genType).getActualTypeArguments();  
Class<T> tClass = (Class<T>) params[0];

当然,如果你是刚好列表属性类继承了baseParam,获取子类class就比较简单了,父类this.class就在子类实例化的时候获取到子类class。

注:如果有更好的办法,后期将会更新…

二狗子风吟
关注
专栏目录
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2592
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实现的注入的,代码中要如何防范这种动态sql注入
最新发布
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 475
在 MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
排序问题里解决SQL注入
杨航的专栏
09-15 517
importjava.io.Serializable;importjava.util.ArrayList;importjava.util.List;importjava.util.Locale;importjava.util.regex.Pattern;/****@authorYangHang*/publicclassOrderimplementsSerializable { privatestaticfinallongserialVersionUID= 81...
【MyBatis】防止sql注入
qq_37634156的博客
04-07 9084
前言 关于sql注入的解释这里不再赘述。 在MyBatis中防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的防止sql的注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
Mybatis动态字段排序防注入-简单粗暴上代码的方式
从改变自己开始
12-14 3061
一、Mybatis动态参数说明 参数符号 编译 安全 值 #{} 预编译 安全 ?替换,处理后的值,字符类型都带双引号 ${} 未预编译 不安全,存在SQL注入问题 页面传什么值就是什么值 二、order by 动态参数值说明 1、order by后面使用#{} 是无效的,只能使用${}。如果使用${}是会引起SQL注入的。 三、动态参数校验防止SQL注入 1、查询BO对象定义好排序参数 @ApiModelProper
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 3382
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
mybatisplus做SQL拦截添加自定义排序
灼烧的疯狂
01-24 972
mybatis plus SQL拦截,优先按前端传入的字段进行排序,SQL原有的排序规则追加到末尾
sqlserver 支持定位当前页,自定义排序的分页SQL(拒绝动态SQL)
12-15
这样,我们就可以得到一个按自定义排序且定位到特定学生ID的分页结果集,而无需使用动态SQL,从而避免了潜在的安全风险,例如SQL注入。 总结来说,这个例子展示了如何在SQL Server中利用存储过程实现复杂分页和排序...
【项目实战】开发自定义拦截器,实现判断请求中的参数是否有SQL注入风险
本本本添哥
03-20 363
客户提出了,如何保整SQL注入的鲁棒性(robust from SQL injection),所谓的鲁棒性,是指程序在面对异常或不合理输入时,能够保持稳定的运行状态,而不会崩溃或产生不可预知的结果。
SQL行号排序和分页(SQL查询中插入行号 自定义分页的另类实现)
01-19
(一)行号显示和排序 1.SQL Server的行号 A.SQL 2000使用identity(int,1,1)和临时表,可以显示行号 SELECT identity(int,1,1) AS ROWNUM, [DataID] INTO #1 FROM DATAS order by DataID; SELECT * FROM #1 B.SQL ...
mybatis自定义排序 防注入
07-29
在 MyBatis 中,可以通过自定义排序来实现对查询结果的排序,同时需要注意防止 SQL 注入的问题。以下是一种常见的做法: 1. 创建一个 POJO(Plain Old Java Object)类,用于存储排序的字段和排序方式。例如: ```...
【Java代码审计】SQL注入
大河之犬的博客
12-15 1844
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露。
有效防止sql注入的方法_sql注入有效负载列表
weixin_26747751的博客
09-11 436
有效防止sql注入的方法In this section, we’ll explain what SQL injection is, describe some common examples, explain how to find and exploit various kinds of SQL injection vulnerabilities, and summarize how to pr...
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
JAVA中防止SQL注入
刘海成的博客
10-31 980
什么是sql注入 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from orders 在执行完s
SQL注入问题解决
zh_tnis的博客
08-24 418
1.什么是SQL注入? 通过SQL语句代码的漏洞,进而攻击系统,从而引起数据泄露。 例如:我的数据库表中的字段记录是 当我Java与数据库进行连接后使用姓名查询,输入'or 1 or'。这个姓名很明显是不存在的,但是查询出来的结果是 可以看到,使用'or 1 or'查询出来的结果是我之前进行查询过的结果,这就是SQL注入。 2.解决SQL注入。 2.1可以对Java语言中传递的字符进行预处理,但是量大,实施时间过长,难以实现。 2.2使用PerpredStatement与数据库连接,获
随记-Java项目处理SQL注入问题
Nightwish5的博客
02-05 533
现象:http://10.xx.xx.xx:xx/services/xxService 存在SQL注入情况。
Java中SQL注入的防范与解决方法
hymua的博客
02-05 1448
SQL注入是一种常见而危险的安全漏洞,但通过采取适当的防范措施,可以有效地保护应用程序免受这种类型的攻击。在编写Java应用程序时,遵循上述的最佳实践是确保数据库安全的关键步骤。通过使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限,可以显著提高应用程序的安全性,保护用户的数据不受损害。
java sql注入 正则_Java-java程序防止sql注入的方法
weixin_39580564的博客
02-15 1056
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值