Mybatis的SQL注入

最新推荐文章于 2024-09-15 23:28:35 发布
最新推荐文章于 2024-09-15 23:28:35 发布
阅读量183 收藏
点赞数 1
分类专栏: myBatis 文章标签: sql java 数据库
原文链接:https://mp.weixin.qq.com/s/WZb0l-BRnQTPJ5V3wcyGHg
版权

Mybatis的SQL注入

在编写xml文件时,MyBatis支持两种参数符号,一种是#,另一种是$。比如:

<select id="selectAll"  resultMap="resultMap">
  SELECT * FROM NEWS WHERE ID = #{id}
</select>

#使用预编译(防止SQL注入),$使用拼接SQL(后面拼接,会存在注入的问题)。

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:

1、模糊查询

Select * from news where title like '%#{title}%'

在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法:

select * from news where tile like concat('%,#{title}, '%')

2、in 之后的多个参数

in之后多个id查询时使用# 同样会报错,

Select * from news where id in (#{ids})

正确用法为使用foreach,而不是将#替换为$

id in
<foreach collection="ids" item="item" open="("separatosr="," close=")">
#{ids}
</foreach>

3、order by 之后

这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。

总结

1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by

2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入

3、Mybatis注解编写sql时方法类似

4、java层面应该做好参数检查,假定用户输入均为恶意输入,防范潜在的攻击
MyBatisSQL注入攻击和防护——掌握技巧保护应用安全
程序员光剑
07-28 1224
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
MyBatis时在sql中;将 #{ } 注入参数与字符串就行拼接,作为查询查询条件。
weixin_45439637的博客
06-04 974
使用 || 进行拼接即可 代码演示: <select id="listByCategory" resultType="Map"> select * from sz_dict where dtype = 'cat' || #{category}; </select>
Mybatis的${}和#{},${}数据库注入问题
每天努力Coding
09-08 196
如果数据库中所有人的年龄都大于等于1我们就得到了所有人的id,所以直接插入可能会导致很多问题。取值符号不会自动为String加上‘’单引号。取值符号会自动为String类型的参数加上‘’单引号、会给字符串类型加引号,所以在遇到数据库的字段例如。可能会出现数据库注入
Mybatis Mapper.xml字符串形式传参,逗号分隔 AND中拼接OR
程序和我有一个能跑就行了
06-30 7899
“宝~,你好久没更新了…” “吃了吗? 睡了吗? 在干嘛呢?” “宝~,被一个人牵动着情绪,真的很烦,你都不知道心疼人的吗?” “你对一个喜欢你、关心你、担心你的人,就这么爱答不理吗?” “宝啊,我生病了,我去输液,什么液?想你的液。” 一、业务场景 该业务场景是wshanshi编的哈,不过这不重要,重要的是实现的方法。 前端: 鲜花类型:页面搜索框多选。举个栗子:查询数据库中鲜花类型为:满天星或玫瑰或风信子的进货信息。(当然这个选框里面是可以选择n个的) 前端以字符串形式传参(长这样.
Mybatis中的#{}与${}以及SQL注入问题
calm_encode的博客
09-03 847
一 概述 Mybatis的Mapper.xml中的SQL引用传递过来参数的方式为:#{parameterName}和${parameterName}。 二 #{parameterName}与${parameterName} #{parameterName} #{parameterName}实现的是向prepareStatement中的预处理中设置参数值,sql语句中的#{}表示一个占位符?,当程序给该位置传入实际的数据内容时,该占位符?会被实际的数据内容替换。 #{parameterName.
mybatisxml配置中使用${}可能发生SQL注入,应使用#{}
lkforce
02-27 5578
项目中遇到了这样的情况,在页面的文本域输入一堆某表的编号,每行是一个编号,用这些编号在后台查询数据库表的code字段。   比如输入的编号是: AAA BBB CCC 错误示范: 从前台页面获得参数后,参数用\n分割,加好双引号和逗号,最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串,在xml配置中使用 code in (${codeArray})的形式把字符串传给
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题。SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2139
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
SQL注入解决方案——使用MyBatis注解进行预编译
若言的博客
08-23 1708
SQL注入解决方案——使用MyBatis注解进行预编译
SQL注入Mybatis预编译防止SQL注入
双眸
12-31 1152
什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 实战举例 有个登陆框如下: 可以看到除了...
SQL预编译
LuM523的博客
04-23 1035
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
SQL注入Mybatis框架下的sql注入白盒审计
m0_61572518的博客
03-20 5203
一、Mybatis框架下sql语句的两种写法 1.select * from [tablename] where [column]=#{value} #{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。 2.select * from [tablename] where [column]=${value} ${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。 二、Mybatis框架下两种提供SQL语句的方式 1.在*map
Mybatis实现SQL映射的两种方式详解(xml文件形式和注解形式)
淮宁湾的博客
05-14 9000
Mybatis实现SQL映射的两种方式详解(xml文件形式和注解形式) SQL映射是Mybatis中最重要,复杂的组件,它由一个接口和对应的XML文件(或注解)组成。它可以配置以下内容: 描述映射规则。 提供 SQL 语句,并可以配置 SQL 参数类型、返回类型、缓存刷新等信息。 配置缓存。 提供动态 SQL。 在介绍实现映射的方式之前,先用SQL数据库中创建一个role表。 CREATE TABLE `role` ( `id` BIGINT(20) NOT NULL, `role_n
sqlalchemy JSON 字段写入时中文序列化问题
llc的博客
09-12 301
_table_args__ = ({"comment": "表名称"})...extra = Column(JSON, comment="其他属性")...
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》
beingstrong的博客
09-15 594
text2sql(NL2Sql)综述《The Dawn of Natural Language to SQL: Are We Fully Ready?》详细笔记
SQL(结构性查询语句)
2301_78693337的博客
09-11 444
以上就是今天要讲的内容,本文介绍了基础的SQL语法使用,而sql还提供了大量能使我们快速便捷地处理数据的函数和方法等着我们探索。
SpringBlade dict-biz/list 接口 SQL 注入漏洞
最新发布
为了低调的博客
09-15 272
在 SpringBlade 框架中,如果接口的后台处理逻辑没有正确地对用户输入进行过滤或参数化查询(Prepared Statements),那么可能会存在 SQL 注入的漏洞。SQL 注入是一种安全漏洞,攻击者可以利用它向应用程序的数据库查询中插入或“注入”恶意的 SQL 代码片段。
mybatis sql注入
09-12
尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值