Mybatis模糊查询防止sql注入

最新推荐文章于 2024-04-23 18:23:41 发布
最新推荐文章于 2024-04-23 18:23:41 发布
阅读量523 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43246102/article/details/105427969
版权

$ 的作用实际上是字符串拼接,
select * from t a b l e N a m e tableName tableName
等效于
StringBuffer sb = new StringBuffer(256);
sb.append("select * from ").append(tableName);
sb.toString();

#用于变量替换
select * from table where id = #id#
等效于
prepareStement = stmt.createPrepareStement(“select * from table where id = ?”)
prepareStement.setString(1,‘abc’);

说道这里, 总结一下, 什么时候用$,什么时候 用 #

对于变量部分, 应当使用#, 这样可以有效的防止sql注入, 未来,# 都是用到了prepareStement,这样对效率也有一定的提升

只 是 简 单 的 字 符 拼 接 而 已 , 对 于 非 变 量 部 分 , 那 只 能 使 用 只是简单的字符拼接而已,对于非变量部分, 那只能使用 使, 实际上, 在很多场合,$也是有很多实际意义的
例如
select * from t a b l e N a m e tableName tableName 对于不同的表执行统一的查询
update t a b l e N a m e tableName tableName set status = #status# 每个实体一张表,改变不用实体的状态
特别提醒一下, $只是字符串拼接, 所以要特别小心sql注入问题。

以上引用于一个帖子的回复
[https://www.iteye.com/topic/726853?page=2]

  • 存在风险的情况

  • and bigname like ‘%${name}%’

  • 建议写法
    1.bind + #{} 模糊查询 防止SQL注入 (#{}进行预编译,传递的参数不进行编译,只作为参数,相当于PreparedStatement)

bind 元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。比如:

<select id="selectBlogsLike" resultType="Blog">
  <bind name="pattern" value="'%' + _parameter.getTitle() + '%'" />
  SELECT * FROM BLOG
  WHERE title LIKE #{pattern}
</select>

2.concat(concat('%',#{documentName}),'%')

【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

#{}:相当于JDBC中的PreparedStatement

${}:是输出变量的值

简单说,#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。

如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。

反者道之动
关注
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 270
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
Mybatis中的Map的使用和模糊查询的需求实现及其防SQL注入优化
一键难忘的博客
03-26 594
Java 代码执行的时候,传递通配符%%在 sql 拼接中使用通配符!
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
mybatis模糊查询防止SQL注入
weixin_34348805的博客
11-11 650
  SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中...
mybaits模糊查询防止sql注入
java_zc的博客
10-26 690
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   [sql] view plain copy   select * from t_user where name like co
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1173
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
Mybatis模糊查询防止sql注入的方式
hou6gang的博客
05-26 665
如题: Mysql中 :select * from table where name likeconcat('%',#{参数},'%'); Oracle中 : select * from table where name like '%' || #{参数} || '%';
Mybatis模糊查询和动态sql语句的用法
08-26
这种方法可以实现更加灵活的模糊查询,並且可以防止SQL注入。 三、多条件查询 在实际应用中,我们经常需要实现多条件查询,例如根据员工姓名和性别来查询员工信息。在Mybatis中,我们可以使用if标签和where标签来...
mybatis 模糊查询的实现方法
12-16
这种方式能够有效地防止SQL注入攻击,因为数据库会预先处理这些参数,不会执行任何未预期的代码。 2. `$`:与`#`相反,`$`会将参数直接拼接到SQL字符串中,称为Statement方式。例如,`order by $user_id$`,如果...
MyBatis模糊查询防止Sql注入
weixin_45571513的博客
03-31 221
Mysql: select * from t_user where name like concat('%', #{name}, '%') Oracle: select * from t_user where name like '%' || #{name} || '%' SQLServer: select * from t_user where name like '%' + #{name} + '%'
mybatis模糊查询(且防sql注入
qq_56047419的博客
07-26 883
mybatis模糊查询防止sql注入
Mabatis中模糊查询防止sql注入
雏鸟飞翔之路
07-17 563
  #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   select * from user where name like concat('%', #{name}, '%') Oracle:  select * from use...
mybatis模糊查询应先处理好参数,再进行查询,防止sql注入
最新发布
Samin的博客
04-23 442
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。
Mybatis02:万能的map 和 模糊查询防止sql注入
lenard-lhz的博客
04-02 276
使用map处理多参数问题。“%” “%”防止sql注入问题。
mybatis 模糊查询SQL注入
m0_38053538的博客
07-12 556
不同数据库语法不一样的,MySQL:1select * from user where name like concat('%', #{name}, '%');oracle:1select * from user where name like '%' || #{name} || '%';
Mybatis模糊查询、动态sql、插入回填
SassionLim的博客
11-18 206
1、模糊查询 方式一:用“%${value}%” <select id="selectUser" parameterType="com.gec.bean.User" resultType="com.gec.bean.User"> select * from t_user where address like "%${address}%" </select> 方式二:用“...
模糊查询 防止SQL注入
maihoney的专栏
06-22 894
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 8923
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
Mybatis框架SQL防注入策略详解
使用#时,Mybatis会进行预编译处理(类似PreparedStatement),可以有效防止SQL注入;而使用$时,Mybatis会将参数直接拼接到SQL字符串中,这可能导致SQL注入。 1. 模糊查询 在进行模糊查询时,开发者可能会遇到如下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值