Mybatis中的concat()函数是如何防止sql注入的 理解整理

最新推荐文章于 2024-06-24 11:01:22 发布
最新推荐文章于 2024-06-24 11:01:22 发布
阅读量3.9k 收藏 7
点赞数 7
分类专栏: java 文章标签: ssm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44230700/article/details/109304112
版权

前言:
刚开始接触Mybatis时,对于xml文件中的concat()函数的防止sql注入的使用不是太理解,现在终于搞明白的,其实不难理


CustomerMapper.xml文件下的 配置:

	<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="username"/>		
		select * from t_customer where username like concat('%',#{parttern_username},'%')
	</select>

测试方法:

	@Test
	public void findCustomerByName1Test() {
		SqlSession sqlSession = MybatisUtils.getSession();
		
		Customer customer = new Customer();
		customer.setUsername("j");
//		customer.setUsername("j and 1 = 1");
		
		List<Customer> list = sqlSession.selectList("com.itheima.mapper.CustomerMapper.findCustomerByName1", customer);
		
		for (Customer customer2 : list) {
			System.out.println(customer2);
		}
		
		// 关闭sqlSession
		sqlSession.close();
		
	}

首先 运行这个语句:customer.setUsername(“j”);
即模糊查询 username中带有 字母"j" 的所有信息

查询结果:
在这里插入图片描述

因为我的数据库中只有是三条数据:
在这里插入图片描述
这说明是成功的,

接下来再简单的试一试sql注入的语句:
customer.setUsername(“j and 1 = 1”);

显示:

在这里插入图片描述
尽管没有报错,但是没有查询到。

不难发现其实,
在上面的代码中,你始终传入的是一个 变量 value的值 ,所以说不管是你传入 “j” 还是传入 “j and 1 = 1” 都被认为是一个username的值,不会出现 把这一个语句分开的情况

补充:
同样的,这种形式 “’%’+username+’%’” 也是可以防止sql注入的,

	<!-- bind的测试 -->
	<select id="findCustomerByName1" parameterType="customer"
		resultType="customer">
		<bind name="parttern_username" value="'%'+username+'%'"/>		
		select * from t_customer where username like #{parttern_username}
	</select>

防止sql注入,尽量不要使用 ‘%${value}%’ 这种形式的,原因其实和上面的类似,在存在sq注入的情况下他是可以直接,把你写的语句给看做是不同部分,分割来对待。

Rabbit Coder
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解Mybatis框架SQL防注入指南
08-18
Mybatis防止SQL注入的关键是: 1. 尽量使用`#`而不是`$`来绑定参数。 2. 对于`LIKE`和`IN`操作,使用安全的方式来构造SQL,如`CONCAT`和`foreach`标签。 3. 在Java代码层面进行输入验证,确保用户输入的数据类型...
MybatisSqlMapper配置的扩展与应用详细介绍(1)
09-01
Mybatis,SqlMapper配置的扩展与应用是提高代码复用性和适应不同数据库的关键。 在面对Oracle和MySQL等不同数据库的兼容性问题时,Mybatis提供了数据库ID提供者(DatabaseIdProvider)的功能。通过配置`...
mysql使用concat防注入_Mysql必读Mysql数据库使用concat函数执行SQL注入查询
weixin_39968640的博客
02-10 464
MysqL必读MysqL数据库使用concat函数执行sql注入查询,希望对您有用。如果有疑问,可以联系我们。sql注入语句有时候会使用替换查询技术,就是让原有的查询语句查不到结果出错,而让自己构造的查询语句执行,并把执行结果代替原有查询语句查询结果显示出来.代码如下:select username,email,content from test_table where user_id=uid;其...
MybatisMybatis存在的sql注入问题
杰叔叔不是个好叔叔的博客
06-24 415
尽量避免在SQL语句直接拼接用户输入的数据。使用#{}占位符来传递参数,并确保参数被正确地预编译。对于需要动态拼接SQL的场景(如模糊查询、IN语句、ORDER BY等),使用MyBatis提供的标签和函数来确保安全性。在Java层面进行必要的验证和过滤,确保用户输入的数据符合期望的格式和范围。定期对代码进行安全审计和测试,及时发现并修复潜在的SQL注入漏洞。
Mybatis使用concat函数
m0_67392409的博客
04-06 4205
开发时遇到一个需求,用户角色存在变更,使用关联关系浪费空间,于是想到使用在数据库字段存放字符串,以,分割,这样获取到数据之后使用AuthorityUtils.commaSeparatedStringToAuthorityList(param)即可将用户角色转成list集合,数据库字段信息如下 如图所示,用户role字段对应用户角色信息,但是用户角色可能会添加也可能会删除某个角色,当然查出来利用java语言拼接字符串是肯定没问题的,通过查找资料我决定使用MySQL的concat函数,及service层将
Mybatis和Hibernate:防止SQL注入
琦彦
01-29 1万+
SQL是如何注入的 SQL注入是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 为什么这么说,下面就以JAVA为例进行说明: 假设数据库存在这样的表: table user( id varchar(20) PRIMARY KEY , n...
mybatisconcat的用法
热门推荐
xiangwang2016的博客
12-27 4万+
案例一:条件查询+分页操作  pojo类(作用:多参数传递) public class PageParams { private int start ; private int limit; /*******setter and getter*********/ } 接口方法 传递一个pojo类及另外参数 可用一个pojo类来代替,mapper相应sql...
mybatis如何防止sql注入和传参
kali_Ma的博客
12-24 2658
环境 使用mysql,数据库名为test,含有1表名为users,users内数据如下 JDBC下的SQL注入 在JDBC下有两种方法执行SQL语句,分别是Statement和PrepareStatement,即其,PrepareStatement为预编译 Statement SQL语句 SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "' 当传入数据为 username =
【代码审计】-Mybatis框架使用不当导致的SQL注入问题
apearapeach的博客
10-12 1134
Mybatis框架使用不当导致的SQL注入问题
MyBatis的Like查询用Concat解决模糊查询'%'放置至Sql语句,同是防止sql注入
何阳的博客
05-07 5349
Concat函数Concat函数可以连接一个或者多个字符串,若其一个为null,则返回null用Concat(org1,org2,....)将 %与 #{name}与连接在一起,避免将sql%放到java代码(即避免硬编码)语句如下:...
MyBatis#和$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1310
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
Mybatis模糊查询和动态sql语句的用法
08-26
如果我们想实现真正的模糊查询,可以使用CONCAT函数来拼接字符串。例如: ```sql SELECT * FROM oa_employee WHERE emp_name LIKE CONCAT(#{asd}, '%') ``` 这种方法可以实现真正的模糊查询,但是它存在一些...
Mybatis Oracle 的拼接模糊查询及用法详解
08-27
在 Oracle ,拼接模糊查询的正确写法是使用 `concat` 函数或 `||` 运算符将模糊查询字符串连接起来。例如: ```sql SELECT A.USER_ID, A.USER_NAME FROM USER A WHERE A.USER_NAME LIKE concat(concat('%', 'w'), ...
Mybatisforeach标签带来的空格\换行\回车问题及解决方案
08-19
Mybatis 的 foreach 标签是一个功能强大的工具,允许开发者在 SQL 语句循环遍历集合对象。但是,在使用 foreach 标签时,经常会遇到空格、换行、回车问题,这些问题会导致 SQL 语句执行失败或返回错误的结果。 ...
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文).zip
08-05
[毕业设计]VB环境下电脑销售与财务管理系统开发(ACCESS+源代码+论文)
PPO(Proximal Policy Optimization,近端策略优化)算法
最新发布
08-05
在解答2024年华数杯全国大学生数学建模竞赛的C题“老外游国”时,虽然PPO(Proximal Policy Optimization,近端策略优化)算法主要是应用于强化学习领域,特别是在解决连续动作空间的策略优化问题上,但在此数学建模竞赛,它并不直接适用于数据处理、综合评价或路径规划等任务。不过,我们可以从数据处理和决策优化的角度,类比强化学习的一些思想来构思解题策略。 然而,对于本题而言,我们可以更侧重于数据分析、综合评价模型(如层次分析法AHP、TOPSIS、模糊综合评价等)和路径规划算法(如Dijkstra、A*、遗传算法等)来解决问题。以下是对各个问题的进一步建模思路: 一、问题1建模思路 1.1 数据处理与分析 数据收集与清洗:首先,需要加载所有352个城市的CSV文件,对每个城市的100个景点信息进行数据清洗,去除无效或缺失的关键信息(如评分缺失的景点)。 最高分查找:遍历所有景点,找到最高评分(BS),并统计获评该评分的景点数量。 城市排名:统计每个城市获评BS的景点数量,并根据数量多少进行排序,列出前10个城市。 二、问题2建模思路 2.1 综合评价体系构建
国城市统计年鉴(1985-2023)
08-05
国城市统计年鉴》是全面反映国城市社会经济发展情况的资料性年刊。《国城市统计年鉴—2023》收录了2022年全国各级城市社会经济发展等方面的主要统计数据。 本年鉴内容共分四个部分: 第一部分是全国城市行政区划,列有不同区域、不同级别的城市分布情况; 第二、三部分分别是地级以上城市统计资料和县级城市统计资料,具体包括人口、资源环境、经济发展、科技创新、人民生活、公共服务、等方面的数据; 第四部分是附录,为主要统计指标解释。 需要说明的是,从1997年开始,地级以上城市和县级城市分别采用不同的统计制度,有些指标在两类城市之间不具有可比性,故本年鉴将地级以上城市和县级城市统计资料分为独立的两部分。本年鉴所涉及的全国或全部城市统计资料,均未包括香港特别行政区、澳门特别行政区和台湾省。
TP900 驱动工具2.2
08-05
TP900 驱动工具2.2
防止sql注入函数
01-18
Mybatis,为了防止SQL注入攻击,可以使用concat()函数。该函数可以将多个字符串连接在一起,而不会导致SQL注入的问题。 以下是一个使用concat()函数防止SQL注入的示例: ```xml <select id="getUserByName" parameterType="String" resultType="User"> SELECT * FROM user WHERE name = #{name} AND password = #{password} </select> ``` 在上述示例,使用了concat()函数来连接字符串,而不是直接拼接字符串。这样可以避免用户输入的内容被当作SQL语句的一部分执行,从而防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rabbit Coder

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值