MyBatis 排序防止sql注入

最新推荐文章于 2024-06-01 11:30:00 发布
最新推荐文章于 2024-06-01 11:30:00 发布
阅读量1.8w 收藏 15
点赞数 2
分类专栏: Mybatis Java 排序算法 sql MyBatis 文章标签: web  排序 sql注入 mybatis 插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_java_2017/article/details/84009533
版权
Java 同时被 3 个专栏收录
40 篇文章 1 订阅
订阅专栏
MyBatis
10 篇文章 0 订阅
订阅专栏
Mybatis
9 篇文章 0 订阅
订阅专栏

MyBatis的排序

引言

    最近在项目开发中遇到一个问题,项目中使用的的MyBatis的排序功能被安全部门扫描出了SQL注入安全隐患,查看安全报告说是有一个接口中存在SQL注入的安全漏洞,检查后发现是因为该接口中的排序功能使用了的MyBatis中的$ {}。

#{}与$ {}的区别

    默认情况下,使用#{}格式的语法会导致MyBatis的创建的PreparedStatement参数并安全地设置参数(就像使用?一样)。这样做更安全,更迅速,通常也是首选做法,不过有时你就是想直接在SQL语句中插入一个不转义的字符串。比如,像ORDER BY,你可以这样来使用:ORDER BY $ {COLUMNNAME}。这里的MyBatis不会修改或者转义字符串。

以上是官网中的说明,官网给出的解决方案是不允许用户输入这些字段或者执行转义并检验。显然不允许用户输入这些字段是不现实的,那么唯一的途径就是执行转义并检验了。

解决方案

1#{}能处理吗?

一开始想着既然#{}可以防止SQL注入,也可以设置参数,那么就试试。先看看SQL客户端的执行情况

测试表中只有四行记录,默认顺序如上图,使用排序语句select * from tb_oder order by age;查询结果如下

sql默认的排序是asc,也就是升序。那么我修改sql语句为select * from tb_oder order by'agers';执行如何?

排序失效。我再次修改sql为select * from tb_oder order by`age`;执行结果为

排序成功,就是说这个引号是可以使用的然后我加上降序标识查询,结果如下:

查询成功

现在看看的MyBatis的#{}的实现:

结果并未排序,原因就是上面的第三种情况。

2.解决方案

项目中已经有多处mapperXML文件中使用了$ {},需要写一个通用的方式完成排序,且支持多字段不同顺序的排序。这时的MyBatis的插件功能就用上了。请查看之前的博客HTTPS://blog.csdn.net/tony_java_2017/article/details/80804409只要,在执行前将我们的排序规则拼写在SQL后面即可例如,SELECT * FROM tb_oder需要排序,那么我们从插件的方法中获取到该sql语句然后拼接为select * from tb_oder order by age desc,name;即可。现在轮子这么多,你也不用自己写,pagHelper已经帮你完成了,看看源码就知道了。

3.pageHelper排序实现

引用坐标:

<dependency>
   <groupId>com.github.pagehelper</groupId>
   <artifactId>pagehelper</artifactId>
   <version>4.1.0</version>
</dependency>

在你要排序的select mapper语句前调用形如PageHelper.orderBy(“age desc,name”)即可;

源码如下

 

tony_code_2017
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Mybatis排序无效问题解决.doc
03-20
### Mybatis排序无效问题解决 #### 问题背景与概述 在使用Mybatis框架进行数据库操作时,有时会遇到排序功能无法正常工作的现象。本篇文章旨在深入解析这一问题,并提供有效的解决方案。 #### 问题描述 在实际...
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2706
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
Mybatis Order by动态参数注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
qq_44005305的博客
06-01 681
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Mybatis动态字段排序注入-简单粗暴上代码的方式
从改变自己开始
12-14 2965
一、Mybatis动态参数说明 参数符号 编译 安全 值 #{} 预编译 安全 ?替换,处理后的值,字符类型都带双引号 ${} 未预编译 不安全,存在SQL注入问题 页面传什么值就是什么值 二、order by 动态参数值说明 1、order by后面使用#{} 是无效的,只能使用${}。如果使用${}是会引起SQL注入的。 三、动态参数校验防止SQL注入 1、查询BO对象定义好排序参数 @ApiModelProper
[实践总结] 如何order by导致的SQL注入
张紫娃的博客
12-30 1479
example.setOrderByClause("字段名1 ASC/DESC,字段名2 ASC/DESC,...");
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
mybatis如何防止SQL注入
Lamb的博客
08-02 2271
sql注入解释:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是。
SQL.rar_MyBatis3DynamicSql_dynamic mybatis_mybatis_mybatis Dyna
09-19
[CDATA[]]>`用于防止SQL注入问题,确保特殊字符能正确解析。 此外,`pom.xml`文件是Maven项目的配置文件,它定义了项目的依赖、构建过程和其他元数据。在MyBatis项目中,它通常会包含MyBatisMyBatis-Spring(如果...
MyBatis 最简单的分页
09-23
- 分页参数的传递方式应安全,防止SQL注入攻击。 【标签】"最简单 分页 MyBatis sql" 暗示了这个话题集中在最基础的分页实现,MyBatis的SQL编写以及其与数据库的交互。 在实际项目中,可能还需要考虑更复杂的分页...
mybatis basedao
12-07
在Java Web 开发中,MyBatis 是一个非常流行的持久层框架,它允许开发者将SQL语句与Java代码直接结合,避免了传统的ORM(对象关系映射)框架中的复杂性。 MyBatis BaseDAO 的核心理念是将通用的数据库操作抽象出来...
86-web漏洞挖掘之SQL注入1
08-03
**SQL注入漏洞详解** SQL注入攻击是网络安全领域中一种常见的攻击手段,主要针对Web应用程序,通过构造恶意的SQL语句,使攻击者能够获取...同时,保持安全意识的更新和学习,及时修补已知漏洞,是防止SQL注入的关键。
PageHelper的order by方法可替代mybatisorder by必须使用$来避免sql注入
JosephJames的博客
03-14 7415
** PageHelper的order by方法可替代mybatisorder by必须使用$来避免sql注入 ** 在my batis中,我们通常使用#{字符}来传值。在mybatis中使用order by排序时也习惯性的使用#,然后发现sql错误,后来研究才发现在order by中使用#,最后转换的值在外面多了两个单引号,如 order by '‘id asc’。因此在order by这里可...
Mybatis和Hibernate:防止SQL注入
琦彦
01-29 1万+
SQL是如何注入SQL注入是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , n...
MyBatis怎么防止sql注入
m0_62381101的博客
09-22 4165
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
mybatis 动态传入排序字段 ${}防止注入
卑微的码农
11-13 834
传入;DELETE user,传入参数之前做判断 List<LinkedHashMap> findCertificateLevelsEntity(CertificateLevel certificateLevel); <!-- 查询信息返回-实体类 --> <select id="findCertificateLevelsEntity" parameterType="com.cn.entity.CertificateLevel" resultTyp.
MyBatis防止sql注入
qq_37634156的博客
04-07 8966
前言 关于sql注入的解释这里不再赘述。 在MyBatis防止sql注入主要分为两种: 第一种就是MyBatis提供了两种支持动态 sql 的语法 #{}和 ${},其中${} 是简单的字符串替换,而 #{}在预处理时,会把参数部分用一个占位符 ? 代替,可以有效的防止sql的注入,面试的时候经常会问到,这里也不再详细赘述; 第二种是排序防止sql注入,实现方案如下 SQL注入过滤器 以下是sql注入过滤器,当判断出是非法字符时则抛出到自定义的异常类B...
sql注入order by
09-14
SQL注入是一种常见的网络攻击技术,通过在SQL查询中插入恶意代码来绕过应用程序的安全验证,进而获取或修改数据库中的数据。在使用order by语句时,如果没有对用户输入进行正确的过滤和验证,就可能导致SQL注入漏洞。 通过注入order by语句,攻击者可以利用数据库的排序功能执行恶意操作。例如,攻击者可以在order by子句中插入额外的代码,来显示敏感信息、绕过身份验证或者修改数据库中的数据。 为了防止SQL注入攻击,应该始终对用户输入进行适当的过滤和验证。以下是几个防止SQL注入的方法: 1. 使用参数化查询或预编译语句:这可以确保输入的值作为参数传递给查询,而不是将其作为查询字符串的一部分。这样可以防止恶意代码的注入。 2. 对用户输入进行严格的验证和过滤:根据输入类型、长度、格式等进行验证,过滤掉潜在的恶意代码。 3. 最小化数据库用户的权限: 限制数据库用户的权限,只赋予其必要的权限,以减少攻击者对数据库的操纵空间。 4. 使用Web应用程序火墙(WAF): WAF可以检测并阻止SQL注入攻击,它可以通过监控和过滤进入应用程序的流量来保护应用程序免受攻击。 总结起来,注入order by语句是一种常见的SQL注入攻击方法。为了防止SQL注入,我们应该对用户输入进行严格验证和过滤,使用参数化查询或预编译语句,并限制数据库用户的权限。同时,使用Web应用程序火墙可以提供额外的保护。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值