面试必知 mybatis防止sql注入

最新推荐文章于 2024-04-15 17:37:22 发布
最新推荐文章于 2024-04-15 17:37:22 发布
阅读量3.8k 收藏 38
点赞数 5
分类专栏: 面试 文章标签: mybatis 数据库 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44593353/article/details/105948905
版权

一.什么是sql注入:

用户通过表单提交的方式,填入与sql注释或者or 1=1等内容实现sql注入

二.JDBC防止sql注入

1.如果生成statement对象来实现凭借字符串是会被sql注入的。

 concat sqlString sql = "SELECT * FROM users WHERE name ='"+ name + "'";
 Statement stmt = connection.createStatement();
 ResultSet rs = stmt.executeQuery(sql);

2.解决办法:通过生成PreparedStatement 对象来防止sql注入

sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
// 参数 index 从 1 开始
ps.setString(1, name);

3.存在的问题:比如 order by、column name,不能使用参数绑定
解决:此时需要手工过滤,如通常 order by 的字段名是有限的,因此可以使用白名单的方式来限制参数值
4.PreparedStatement 防止sql注入的原理:
首先通过sql语句通过占位符的方式执行sql语句,然后再把对应的参数替换上去,sql语句就只执行了一次,替换参数不会再执行sql语句。

三.mybatis防止sql注入

1.mybatis可以通过xml文件或者注解的方式执行sql语句
1).XML文件:

<select id="getById" resultType="org.example.User">    
SELECT * FROM user WHERE id = #{id}
</select>

2).注解的方式

@Mapperpublic interface UserMapper {    
@Select("SELECT * FROM user WHERE id= #{id}")    
User getById(@Param("id") int id);
}

2.mybatis提供两种方式进行参数替换( #{} 和 ${})
1).使用 #{} 语法时,MyBatis 会自动生成 PreparedStatement ,使用参数绑定 ( ?) 的方式来设置值,上述两个例子等价的 JDBC 查询代码如下: 可以防止sql注入

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setInt(1, id);

2).使用${}其实就是进行sql的拼接,先进行sql的拼接再执行sql语句就会出现sql注入。

<select id="getByName" resultType="org.example.User">    
SELECT * FROM user WHERE name = '${name}' limit 1
</select>

如果name 值为 ’ or ‘1’='1,实际执行的语句为

SELECT * FROM user WHERE name = '' or '1'='1' limit 1

3).所以mybatis推荐使用#{}来防止sql注入。
3.同样的也会出现问题:比如 order by、column name,不能使用参数绑定
其实就是如果需要用数据库表的字段来替换的话就不能用参数绑定
比如:
  1). sortBy 参数值为 name ,如果使用#{}替换后会成为

ORDER BY "name"

即以字符串 “name” 来排序,而非按照 name 字段排序
  2).所以需要使用${}来进行拼接,但是拼接就会出现sql注入:
  代码层使用白名单的方式,限制 sortBy 允许的值,如只能为 name, email 字段,异常情况则设置为默认值 name

在 XML 配置文件中,使用 if 标签来进行判断

<select id="getUserListSortBy" resultType="org.example.User">  
SELECT * FROM user  
<if test="sortBy == 'name' or sortBy == 'email'">    
order by ${sortBy}  
</if>
</select>

因为 Mybatis 不支持 else,需要默认值的情况,可以使用 choose(when,otherwise)

<select id="getUserListSortBy" resultType="org.example.User">  
SELECT * FROM user  
<choose>    
<when test="sortBy == 'name' or sortBy == 'email'">      
order by ${sortBy}    
</when>    
<otherwise>    
  order by name    
</otherwise>    
 </choose>
 </select>

4).mybatis更多场景:

  1. 除了 orderby之外,还有一些可能会使用到 ${} 情况,可以使用其他方法避免,如
    like语句
    使用mybatis的bind标签

    <select id="getUserListLike" resultType="org.example.User">    
<bind name="pattern" value="'%' + name + '%'" />   
 SELECT * FROM user    WHERE name LIKE #{pattern}
 </select>

    或者使用concat标签

    <select id="getUserListLikeConcat" resultType="org.example.User">    
SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%')
</select>

  2. in条件
    使用 < foreach> 和 #{}

    <select id="selectUserIn" resultType="com.example.User">  
SELECT * FROM user WHERE name in  
<foreach item="name" collection="nameList" open="(" separator="," close=")">        
	#{name}  
</foreach>
</select>

  3. limit语句
    直接通过#{}防止sql注入

一个正在学习的javaer
关注
  • 5
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
MyBatis根据传入字段排序
靖节先生的博客
07-13 4032
MyBatis根据传入字段排序1. 需求描述2. 解决方案2.1 解决思路2.2 实现方式 1. 需求描述 分页列表查询,为了提高可扩展性,支持不同字段排序查询,所以根据传入字段及排序方式查询。 2. 解决方案 2.1 解决思路 方式是mybatis的mapper文件中sql拼接即可。 mybatis排序时使用order by 动态参数时需要注意,用$而不是# #{} ,会对自动传入的数据加一个双引号,导致排序失败,如 order by #{age},解析结果 order by "age" ${},不会对
【Spring】✅为什么不建议使用@Autowired(强制字段注入)
最新发布
m0_50884973的博客
04-15 689
首先,依赖注入是一种设计模式,用于实现控制反转(IoC),使得一个对象(通常是一个Bean)不需要自己创建它所依赖的对象,而是通过外部容器(比如Spring容器)来注入这些依赖。这样做的好处是解耦了对象和其依赖之间的关系,提高了代码的可测试性和可维护性。在设计Spring Bean时,应该优先使用构造器注入和setter方法注入这两种显式的方式来实现依赖注入,以保持Bean的封装性,此外还需要注意一个Bean的初始化顺序,避免NPE。所以字段注入应该尽量避免使用,除非在特殊情况下有充分的理由。
mybatis中动态排序失效
m_sophia的博客
03-05 518
mybatis中动态排序失效应用场景: 在应用程序中需要根据表头设置数据的排序字段与规则。 问题: 将排序字段与排序规则以参数的形式动态传入了mybatis的xml中,然而实际运行结果仍然是默认字段升序的查询结果。 原因: 为了预防SQL注入问题,在xml文件中接收动态参数采用的是#{参数名}的方式,基于mybatis的预编译,排序字段会编译为"参数名",从而导致动态排序失效 例如: 期望结果:order by transAmount desc 实际结果:order by "transAmount" "
MyBatis Plus 如何实现动态排序@杨章隐
杨章隐的博客
12-25 2669
MyBatis Plus 、MyBatis 实现动态排序
mybatis中的#和$的区别 以及 防止sql注入
bruce_sky的专栏
05-26 1万+
声明:这是转载的。 mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user
面试专题-MyBatis专题部分
02-22
- 注意避免SQL注入,合理使用参数绑定。 通过深入学习和理解这些知识点,求职者在面试中能够展示出扎实的MyBatis技能,提升自己的竞争力。同时,对于实际开发工作,这些知识也具有很高的实用价值。
MyBatis面试专题.pdf
01-04
#{}代表预编译处理,相当于PreparedStatement的占位符,可以防止SQL注入。而${}则是简单的字符串替换,不进行预编译,存在SQL注入的风险。 MyBatis被称为半自动ORM映射工具,因为它需要程序员手动编写SQL来处理关联...
Mybatis常见面试
02-23
4. **#{}与${}的区别**:#{}是预编译处理,用于传入参数,能防止SQL注入;${}是字符串替换,不安全,可能导致SQL注入。 5. **动态SQL**:Mybatis的动态SQL功能强大,如if、choose(when/otherwise)、where、set等...
Spring、Mybatis、Springboot常用面试试题及答案.rar
08-04
这份名为"Spring、Mybatis、Springboot常用面试试题及答案.rar"的压缩包文件,显然是为准备面试的Java工程师提供了一份宝贵的资源。下面,我们将详细探讨这些框架的核心知识点和常见面试问题。 1. **Spring框架**:...
mybatis防止sql注入
u012406790的专栏
09-15 510
1、#{}和${}的区别: (1)#{} select id,name from user where id=#{id} 打印的sql语句为: select id,name from user where id=? (2)${} select id,name from user where id=${id} 如果id值为8,打印的语句为: select id,nam
mybatis如何防止SQL注入
蜻蜓队长
09-11 1233
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
MybatisPlus是否防止SQL注入
wgx_0504的博客
05-06 3898
如果我希望使用mybatisplus同时也进行防SQL注入操作,应该怎么处理?
解决mybatis动态传入order by 参数的时候不生效的问题
qq_29062045的博客
02-08 1079
http://blog.csdn.net/u012685794/article/details/52022417解决mybatis动态传入order by 参数的时候不生效的问题字符串替换默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER...
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2097
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
MyBatis使用${}时动态表名或动态排序为什么会被注入攻击?是怎么实现的注入的,代码中要如何防范这种动态sql注入
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
03-14 336
MyBatis 中,如果动态查询 SQL 语句是像这样使用字符串拼接的方式来构建,其中的是动态传入的表名参数,存在被注入的安全风险。这种情况下,恶意用户可以通过构造特定的输入来注入恶意代码,从而执行未经授权的数据库操作。具体来说,当用户能够控制动态 SQL 中的参数,并且这些参数没有经过正确的验证和处理时,就会存在注入风险。如果参数直接从用户输入获取并拼接到 SQL 语句中,恶意用户可以通过在输入中添加 SQL 注入语句来改变 SQL 的逻辑,可能导致数据泄露、数据篡改或数据损失等危害。
MySql sql注入问题的学习
qq_41884972的博客
01-15 234
MySql sql注入问题 什么是SQL注入SQL注入是影响企业运营最具有破坏性的漏洞之一。 应用程序向后台数据库进行SQL查询时,如果为攻击者提供了影响该查询的能力,就会引起SQL注入。 示例: name = "Robert');DROP TABLE students;--" query = "INSERT INTO students (name) VALUES ('%s')" % (name) conn.executescript(query) 也就是说,这段包含DROP TABLE关键字的数据
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
热门推荐
03-19 3万+
字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串
java面试题互联网大厂面试
02-07
java面试题互联网大厂面试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值