使用druid连接池,配置sql防火墙发现的sql注入问题

最新推荐文章于 2024-04-24 18:07:45 发布
最新推荐文章于 2024-04-24 18:07:45 发布
阅读量9.3k 收藏 3
点赞数 2
分类专栏: DB 文章标签: druid mysql sqlz myba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sc313121000/article/details/47611383
版权

最近在使用druid连接池,同时也配置了web和spring的关联监控,检测到select * from tables param like #{param1} “%”的语句被拦截了。做个笔记。

解决方法有两种:
一、 select * from tables param like concat(${param1},”%”)。
二、传入 参数的时候动态拼接 param1=param1+”%”;
select * from tables param like #{param1}。

Mybatis3 防止SQL注入

#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;

${xxx},使用字符串拼接,可以SQL注入;

like查询不小心会有漏动,正确写法如下:
Mysql: select * from tables where param like concat(‘%’, #{param1}, ‘%’)
Oracle: select * from t_user where param like ‘%’ || #{param1} || ‘%’
SQLServer: select * from t_user where param like ‘%’ + #{param1} + ‘%’

ThreeOO
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问SQLServer - springboot自定义DBUtil(druid连接)操作SQLServer数据库
03-10
Spring-Boot通过druid连接获取连接操作SQLServer数据库 总结:【共3步】 第1步:添加druid和MSSQL Driver的依赖项; 第2步:配置连接字符串; 第3步:创建数据库操作类,使用@Bean注入DruidDataSource, 然后根据...
Druid数据库连接及内置监控的配置使用.zip
09-23
- **与MyBatis配合**:在MyBatis的配置中指定Druid数据源,使MyBatis使用Druid连接。 总之,Druid数据库连接是Java开发中不可或缺的工具,其强大的监控能力可以帮助开发者实时了解数据库运行状况,及时发现和...
如何防止SQL注入攻击?
最新发布
Xs_layla的博客
04-24 602
使用预处理语句和参数化查询到验证和过滤用户输入,再到限制数据库用户权限和记录日志等,都是非常重要的环节。通过综合应用这些措施,我们可以大大降低SQL注入攻击的风险,保护应用程序和数据的安全。SQL注入攻击是一种常见的网络攻击方式,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而操纵原本的SQL查询语句,达到非法获取、篡改或删除数据的目的。对用户的输入进行严格的验证和过滤是防止SQL注入的重要步骤。这样,数据库引擎会将参数视为数据而不是SQL代码的一部分,从而避免了SQL注入的风险。
使用DruidSQL执行情况进行监控,以及SQL注入等的检查
evilcry2012的专栏
11-16 4735
使用DruidSQL执行情况进行监控,以及SQL注入等的检查   2013-06-28 14:06:21|  分类: 系统监控 |  标签: |举报 |字号大中小 订阅   下载LOFTER客户端 2012年7月17日fenglibin Druid是属于阿里巴巴开源项目,负责
DruidSQL语句检测拦截
u011450110的专栏
01-12 9928
今天用一些业务上复杂的SQL,得到一点经验,在这里做个笔记简单记录下。 1、Oracle的wmsys.wm_concat()        使用wmsys.wm_concat()函数拼接后的结果中可能会有重复的值存在,这样当数据量比较大的时候,很容易就超出长度限制。这时候可在字段前面加上关键字DISTINCT,如: wmsys.wm_concat(distinct XXX); 2、drui
JDBC和数据库连接: SQL注入.预处理.批处理.德鲁伊.Apache-DBUtils
jason_bone_的博客
02-21 709
JDBC 概述 基本介绍 模拟JDBC public class TestJdbc { public static void main(String[] args) { JdbcInterface jdbcInterface = new MysqlJdbcImpl(); //完成对mysql的操作 jdbcInterface.getConnection(); jdbcInterface.crud(); jdbcInt
自定义Druid的拦截器
chuandie7960的博客
02-05 1418
Druid是一个JDBC组件,它包括三部分: DruidDriver 代理Driver,能够提供基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的数据库连接SQLParser Druid可以做什么? 1) 可以...
数据库防火墙研究
weixin_30341745的博客
11-05 299
文章的接下来部分准备分为2部分进行学习: 1. SQL注入语法防御规则2. druidSQL注入防御模块sql-wall 1. 相关学习资料 http://code.alibabatech.com/wiki/display/Druid/WallFilter http://code.alibabatech.com/wiki/display/Druid/WallFilterConfig h...
spring boot配置druid连接的完整步骤
08-26
Spring Boot 配置 Druid 连接的完整步骤 Spring Boot 是一个基于 Java 的开源框架,用于构建微服务架构的应用程序。 Druid 是一个功能强大且高效的数据库连接,由阿里巴巴开发,已经在生产环境中广泛应用。 ...
详解Spring Boot下Druid连接使用配置分析
08-30
Spring Boot下Druid连接使用配置分析 Spring Boot是一个基于Java的开源框架,提供了许多简洁、灵活的特性,而Druid是一个由阿里系开源的JDBC组件,提供了高效、功能强大的数据库连接和监控功能。在本文中,...
MyBatis 通过第三方Druid数据连接连接SQL server 简单例子
06-30
本教程将详细介绍如何在MyBatis中利用第三方库Druid来创建数据连接,并以SQL Server为例进行配置使用。 首先,我们需要理解MyBatis和Druid的基本概念。MyBatis是一个轻量级的ORM(对象关系映射)框架,它可以将...
01.JavaWeb之JDBC详解、SQL注入问题SQL预编译和Druid数据库连接
Cser_zhu的博客
08-24 675
JDBC和DataSource都是官方定义的接口,我们使用的时候需要第三方实现的接口类(即驱动)JDBC的执行流程是:获取Connection,获取Statement,执行SQL语句如果开启了预编译,需要在数据库连接的url中添加参数,并且使用预编译对象来执行sql语句预编译相当于sql语句是模板,执行之前给定参数,能够提高性能+防止SQL注入问题后面可以用maven来管理项目,就不用手动添加这些第三方包了。
六、Spring boot之使用Druid配置SQL监控
java_mdzy的博客
06-08 9076
Spring boot之使用Druid配置SQL监控 Druid是一个关系型数据库连接,它是阿里巴巴的一个开源项目。Druid支持所有JDBC兼容数据库,包括了Oracle、MySQL、PostgreSQLSQL Server、H2等。 Druid在监控、可扩展性、稳定性和性能方面具有明显的优势。通过Druid提供的监控功能,可以实时观察数据库连接SQL查询的工作情况。使用Druid...
Druid拦截sql语句,实现在添加一个查询条件
不将就不念旧的博客
05-30 9036
Druid拦截sql语句,实现在添加一个查询条件 这里就不详细描述原理了。 首先需要重写一下FilterEventAdapter里的connection_prepareStatement方法,然后对sql进行解析,根据不同情况添加where查询条件。 package com.spek.base.filter; import java.sql.SQLException; impor...
druid监控配置sql注入防火墙配置
chuonu6038的博客
07-21 316
本文转自我的博客,转载请申明地址:http://www.heartlifes.com/archives/18/ druid是阿里巴巴开发的为监控而生的数据库连接,可以非常直观的看到当前应用的数据源、sql执行情况、sql防火墙、web应用、uri监控、spring接口调用监控等。 数据源配置...
log4j mysql 异步_spring boot:配置druid数据库连接(开启sql防火墙/使用log4j2做异步日志/spring boot 2.3.2)...
weixin_29124423的博客
01-27 227
一,druid数据库连接的功能?1,Druid是阿里巴巴开发的号称为监控而生的数据库连接它的优点包括:可以监控数据库访问性能SQL执行日志SQL防火墙2,druid的官方站:https://github.com/alibaba/druid/说明:作者:刘宏缔 邮箱: 371125307@qq.com二,演示项目的相关信息:1,项目地址:https://github.com/liuhongdi/...
alibaba/druid 常见问题
热门推荐
codepython的专栏
01-03 3万+
1,363 Fork895 renfufei edited this page on 16 Sep 2014 · 51 revisions  Pages 54 Benchmark_aliyunContributorsDBCP迁移Druid Change Logdruid m
druid连接配置详解
08-09
通过合理配置Druid连接,可以提高应用程序对数据库连接的管理和利用效率,减少连接泄露和性能问题。但是需要注意的是,配置应遵循最佳实践,并根据实际情况进行调整和优化,以达到最佳的数据库连接配置效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值