MyBatis使用#和$操作符模拟sql注入

最新推荐文章于 2024-07-29 15:47:43 发布
最新推荐文章于 2024-07-29 15:47:43 发布
阅读量367 收藏 7
点赞数 5
分类专栏: mybatis专题 文章标签: mybatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/138480956
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

一、接口方法:

        public interface PlayerDao {
            List<Player> findByName(@Param("playName") String playName);
        }
        
        Mapper文件1:
         <select id="findByName" resultType="Player">
                select *
                from tb_player
                where  playName = #{playName}
         </select>
    
        Mapper文件2:
          <select id="findByName" resultType="Player">
                 select *
                 from tb_player
                 where  playName = '${playName}'
          </select>

二、测试代码

    	关键代码如下:
        public void testSqlInject() {
                // 1.获取sqlSession
                SqlSession sqlSession = sqlSessionFactory.openSession();
                // 2.获取对应mapper
                PlayerDao mapper = sqlSession.getMapper(PlayerDao.class);
                String playName = "Lebron James";
                String fakeName = "Lebron Jamesxxx' or '1 = 1 ";
                //List<Player> list = mapper.findByName(playName);
                List<Player> list = mapper.findByName(fakeName);
                for (Player player: list) {
                    System.out.println(player);
                }
                System.out.println(list.size());
            }

三、验证

验证#操作符

  • 使用Mapper文件1:
  • 执行testSqlInject,分别放开执行下面2行代码
        List<Player> list = mapper.findByName(playName);
        List<Player> list = mapper.findByName(fakeName);
        执行第一行,只能找到一条记录,
        执行第二行,不能找出任何记录,
        从而验证了#的防sql注入。

验证$操作符

  • 使用Mapper文件2
  • 执行testSqlInject,分别放开执行下面2行代码
        List<Player> list = mapper.findByName(playName);
        List<Player> list = mapper.findByName(fakeName);
        执行第一行,只能找到一条记录,
        执行第二行,可以找出数据库的全部记录,
        从而验证了$的sql注入的不安全性。

smart哥
关注
专栏目录
MyBatis中#和$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1668
#{}和${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
网络攻防技术——SQL注入
学习记录
02-27 3238
一、题目 SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。 在本实验室中,我们创建了一
mybatis中#{}与${}的差别(如何防止sql注入
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查和转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
SQL 注入-模拟操作
嘻哈熊的专栏
05-22 720
链接:https://jizhi.im/blog/post/sql_injection_intro 先来看一副很有意思的漫画: 相信大家对于学校们糟糕的网络环境和运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊 SQL 注入相关的内容。 何谓 SQL 注入? SQL 注入是一种非常常见的数据库攻击手段,SQL 注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是 SQL 注入方法。 SQL 注入其实就是恶意用户通过在表单中填.
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1078
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
MyBatis防止SQL注入实战教程
MyBatis提供了防止SQL注入的机制,如使用预编译的SQL语句(PreparedStatement)和动态SQL。 3. **防止SQL注入的方法**: - **预编译SQL语句**:PreparedStatement能有效防止SQL注入,因为它会自动处理用户输入的...
有效防止sql注入的方法演示
09-08
9. **定期审计和渗透测试**:定期检查代码和系统,通过模拟攻击来发现并修复潜在的SQL注入漏洞。 综上所述,防止SQL注入需要多层面的防御策略,包括安全编码、使用安全API、输入验证和权限控制等。通过这些方法,...
MyBatis框架之配置MyBatis,单元测试以及MyBatis的简单使用
热门推荐
未见花闻的博客
08-24 1万+
本篇文章介绍什么是MyBatisMyBatis的优点,如何配置和使用MyBatis使用MyBatis实现简单的增删查改功能。
Mybatis 入门级笔记 mybatis配置,动态sql,一级缓存,二级缓存!
Akai__csdn的博客
03-31 574
Mybatis JDBC Mysql Java基础 Maven Junit 这五个知识点贯穿Mybatis 1、简介 1.1什么是Mybatis MyBatis 是一款优秀的持久层框架 它支持自定义 SQL、存储过程以及高级映射。 MyBatis 免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作。 MyBatis 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录。 My
MyBatis
郭宝的博客
07-06 253
持久层。
模拟浏览器进行sql注入
最新发布
weixin_45631123的博客
07-29 286
笔者进行sqlmap盲注时,发现很多网站都有保护机制,要求cookie。根据目前网站的机制,通过模拟浏览器进行注入,可以绕i过一些保护机制。安装Selenium库。
Tornado+MySQL模拟SQL注入
weixin_30470857的博客
07-05 169
实验环境: python 3.6 + Tornado 4.5 + MySQL 5.7 实验目的: 简单模拟SQL注入,实现非法用户的成功登录 先给一个SQL注入的图解,图片来自网络: 一、搭建环境 1、服务端的tornado主程序app.py如下: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import torna...
模拟sql注入实现远程桌面登录
08-26 303
首先用sql注入文件命令y url+一句话 into outfile 绝对路径/test.php 用蚁剑连接打开连接的终端 先看用户的权限 创建一个用户将它放入队列中 查看3389端口是否开启 0xd3d 16进制解码为3389 打开远程桌面连接输入新建的用户和密码 成功远程桌面连接 转载于:https://www.cnblogs.c...
PreparedStatement 模拟并解决sql注入
cgj-horizons
08-01 450
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象的sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。预编译sql语句执行预防sql注入问题。Sql语句中的参数,使用?...
mybatis的简单模拟
LiangCJP的博客
09-09 551
我们首先来观察 mybatis-config.xml,里面需要配置一个数据源,那么我们准备一个数据源的实体类。 mybatis-config.xml: &lt;?xml version="1.0" encoding="UTF-8" ?&gt; &lt;!DOCTYPE configuration   PUBLIC "-//mybatis.org//DTD Config 3.0//EN"   ...
mybatis中#{}和${}的区别以及${}的sql注入
林高禄
10-29 2309
区别总览 sql注入演示 区别总览 这个文章说的很清楚了MyBatis中#{}和${}的区别 sql注入演示 这里主要演示${}的sql注入
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 2726
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
MyBatis操作数据库(SQL注入
weixin_64308540的博客
03-05 1384
本文主要来讲解6大标签,以便更好的MyBatis操作数据库!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值