mybatis的#{}和${}的区别以及order by注入问题(转录)

最新推荐文章于 2023-08-26 23:45:50 发布
最新推荐文章于 2023-08-26 23:45:50 发布
阅读量579 收藏
点赞数
分类专栏: WEB安全 文章标签: SQL注入 安全 mybatis sql

原文链接:http://www.cnblogs.com/chyu/p/4389701.html


前言略,直奔主题..

#{}相当于jdbc中的preparedstatement

${}是输出变量的值

你可能说不明所以,不要紧我们看2段代码:

复制代码 
String sql = "select * from admin_domain_location order by ?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "domain_id");
System.out.println(st.toString());

  ResultSet rs = st.executeQuery();
  while(rs.next()){
  System.out.println(rs.getString("domain_id"));
  }

输出结果:

com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by 'domain_id'
3
4
5
2
6

复制代码

这是个jdbc的preparedstatement例子,不要吐槽我这么写是否合法,这里只是为了说明问题.

以上例子有得出以下信息: 

1)order by后面如果采用预编译的形式动态输入参数,那么实际插入的参数是一个字符串,例子中是:order by 'domain_id'

2)输出结果并没有排序,从sql语句中的形式我们也可以推测出此sql语句根本也不合法(正常应该是 order by domain_id)

 

修改以上代码如下:

复制代码 
String input = "domain_id";
String sql = "select * from admin_domain_location order by "+input;
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
    System.out.println(rs.getString("domain_id"));
}
输出结果:

com.mysql.jdbc.PreparedStatement@1fa1ba1: select * from admin_domain_location order by domain_id
2
3
4
5
6

复制代码

此次我们直接把一个变量的值拼接sql语句,从结果可以看出来:

1)sql语句拼接正常

2)查询结果排序正常

你可能要问这和#{}与${}有什么关系..

上面已经说过#{}相当于jdbc的preparedstatement,所以以上的第一个例子就相当于#{},那么第二个例子就自然而然指的是${}的情况.

你可能说思维还是有些凌乱,不要紧我们来看第三个例子:

复制代码 
String sql = "select * from admin_domain_location where domain_id=?";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "2");
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
    System.out.println(rs.getString("domain_id"));
}
=======================================
String input = "2";
String sql = "select * from admin_domain_location where domain_id='"+input+"'";
PreparedStatement st = con.prepareStatement(sql);
System.out.println(st.toString());
ResultSet rs = st.executeQuery();
while(rs.next()){
    System.out.println(rs.getString("domain_id"));
}

输出结果都为:
com.mysql.jdbc.PreparedStatement@12bf560: select * from admin_domain_location where domain_id='2'
2
复制代码

这第三个例子说的是#{}和${}通用的问题,也就是说在此种情况下#{}和${}是通用的,只不过需要些小的转换.如例子中需要手动

拼接单引号 ' ' 到变量值的前后,确保sql语句正常.

简单说#{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.

这里先说一下只能${}的情况,从我们前面的例子中也能看出,order by是肯定只能用${}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${},简单想一下

就能明白.由于${}仅仅是简单的取值,所以以前sql注入的方法适用此处,如果我们order by语句后用了${},那么不做任何处理的时候是存在sql注入危险的.你说怎么防止,那我只

能悲惨的告诉你,你得手动处理过滤一下输入的内容,如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中..

rigous
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MybatisOrder By排序
凤凰涅槃
11-12 4万+
利用Mybatis逆向自动生成,—Example.java,—Mapper.xml文件。 一、—Mapper.xml文件,一个自动生成的查询方法,我们可以看到有order by排序语句。 二、所以我们在逻辑层可以将排序条件加上,以以下例子为例,这里我是按审核状态升序查询。只需要我们在Controller加上example.setOrderByClause(" card_sts ASC");如果你...
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 497
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号,导致排序失效,因此Mybatis中使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
Mybatisorderby引起的sql注入
西溪少女的梦
07-01 3975
sql中两种传参数的方式: #{param} 这种是经过预编译的,不会有sql注入 ${param} 这种仅仅取变量的值,可以有sql注入 但是在orderby中之能用${param},用#会导致排序不生效。 例如,传入值为name时 用 SELECT * FROM STUDENT ORDER BY #{orderby}会变成: SELECT * FROM STUDENT OR...
mybatis进阶学习
amspony的博客
05-15 369
mybatis进阶学习 内容介绍 动态sql mybatis中多表查询 mybatis中嵌套查询 懒加载(延迟加载) 缓存 一 映射文件-动态sql 当我们要根据不同的条件,来执行不同的sql语句的时候,需要用到动态sql。 例如:多条件查询,修改密码和修改用户基本信息 1 if标签 需求:查询用户,若usename不为空添加username条件,若sex不为空添加sex条件 public interface UserDao { List<User> find4If(User use
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #$区别 在...
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
浅谈mybatis中的#$区别
09-02
下面小编就为大家带来一篇浅谈mybatis中的#$区别。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈mybatis中的#$区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助...综上所得,在Mybatis下动态sql中##$$区别是非常重要的,correctly使用#{ }和${ }可以避免SQL注入问题,并提高应用程序的安全性。
mybatis select 语句被莫名 拼接了order by create_time desc limit ?
IccBoY_超越
04-04 1755
工具虽好用,但一定要按规范使用!
MySQL中order by指定字段(字符串数值)排序失效解决方案
很酷一只卷儿的博客
11-23 3198
代码均由MyBatis Generator自动生成 以下是mapper.xml文件中部分语句 select <if test="distinct"> distinct </if> <include refid="Base_Column_List" /> from HOUSE <if test="_parameter != null"> <include refid="Example_...
mybatis order by 多个_java程序员跳槽的一道坎,大公司面试官都会问的Mybatis
weixin_40006185的博客
12-24 531
一、什么是Mybatis?1. Mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发时只需要关注SQL语句本身,不需要花费精力去处理加载驱动、创建连接、创建statement等繁杂的过程。程序员直接编写原生态sql,可以严格控制sql执行性能,灵活度高。2. MyBatis 可以使用XML或注解来配置和映射原生信息,将POJO映射成数据库中的记录,避免了几乎所有的JDBC代...
Mybatis动态传入order by
ClearLoveQ的博客
08-03 4475
Mybatis的mapper文件传入的order by 为动态参数说的时候发现排序无法生效: 像下面这样,在choose when中的order by后的参数是用预编译的方式,用的是#号,这样是可以防止sql注入问题,但是在传入order by参数的时候无法解析: <select id="feescaleList" resultType="com.hasagei.modules....
Mybatis动态order by 传参#$区别
qq_44739966的博客
11-11 720
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
[MyBatis]Mapper在order by中使用$的情况
喜欢前端的后端 MelodyJerry
02-27 3281
问题描述 MyBatis项目种,在测试接口是发现,返回的json数据不能按照传入的参数"sortBy": "id"进行order by id排序,当时返回的json数据如下图: 解决 发现该问题时,我最先是将sortBy": "id"改为sortBy": "sales_history.id"。 但是,没有用! 第二次将sortBy": "sales_history.id"改为sortBy": "",再测试 这次出现了如期的升序结果。 这是为什么呢? 回去检查一下这句order by #{sort},现
Mybatis使用order by排序使用#无法正确执行的解决之#$区别
Mint6的博客
09-20 1万+
今天遇到一个问题,mysql数据库使用mybatis在mapper.xml写动态sql  order by无法正确使用,没有报错,看日志也是传入了值 后来自己修改order by传入的值,发现对sql没有影响,说明这个sql没有正确执行 首先sql是这样写的 order by #{ORDER_BY} 外部定义是 private static final String ORDER_B
MyBatis Order By注入错误
明明如月的技术博客
04-17 5088
在开发过程中,安全问题非常重要,一定要注意sql注入问题。 常见的写法如下: order by ${orderBy} ${orderType} 这里orderBy, orderType是前端传过来的话很容易产生sql注入问题。 《Mysql Order By注入总结》专门讲了如何利用这点进行常见的和猜测的sql注入。 为什么这样呢,因为mybatis$部分是原样输出的,拼...
mybatis#{}和${}的区别以及order by注入问题
abfunnyboy的博客
07-08 2191
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
mybatis #$区别
最新发布
09-19
MyBatis中,${}和#{}都是用来替换参数的符号,但它们有以下几个区别: 1. 功能不同:${}是直接替换参数的值,而#{}是进行预处理,并将参数的值设置到预编译语句中。 2. 使用场景不同:通常情况下,我们使用#{}来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值