Mybatis3.4.6对#{}不再存在sql注入漏洞

最新推荐文章于 2024-07-27 14:23:31 发布
最新推荐文章于 2024-07-27 14:23:31 发布
阅读量849 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010218226/article/details/82585433
版权 
@Select("<script>" +
            "SELECT * FROM GZ_USER " +
            "where deleted = '0' and " +
            "<if test='loginName != null' >"+
            "user_name = #{loginName} " +
            "</if>"+
            "</script>")
    User findByLoginName(@Param("loginName") String loginName);

测试:

结果:

老版本的myabtis对sql漏洞需要把#{}替换成${}, 新版本测试,发现不需要。记录下

Jonny_14876
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis3.4.6jar包
09-18
MyBatis 3.4.6版本中,开发者可以利用这些特性进行高效的数据库操作,同时享受到其对SQL的直观控制和灵活性。将mybatis-3.4.6.jar文件添加到项目的类路径后,就可以在项目中引入MyBatis,开始编写便捷的数据库访问...
MyBatis3.4.6
03-15
MyBatis 3.4.6 是一个流行的Java持久层框架,它简化了数据库操作,使得开发者能够将SQL语句直接映射到Java方法中,从而实现数据访问的便捷性。这个版本是MyBatis在2018年发布的一个稳定版本,提供了许多功能和性能的...
MyBatis 3的Bug
baiseda
03-31 113
MyBatis 3的Bug 作者:chszs 转载请注明出处! 版本:MyBatis 3.0.4 Bug为:插入语句不能正确返回自增字段的值。 MySQL数据库脚本: CREATE TABLE `worker` ( `id` int(11) NOT NULL AUTO_INCREMENT, `pin` varchar(64) DEFAULT NULL, ...
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4295
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
Mybatis】知识点总结
最新发布
u013675821的博客
07-27 2037
MyBatis 是一个持久化框架(persistence framework),它简化了对数据库的访问,同时又保留了对 SQL 的控制。它在数据持久化的过程中,避免了大量的 JDBC 代码以及手动设置参数和获取结果的繁琐步骤。相比于 Hibernate 等全自动 ORM 框架,MyBatis 更轻量级且灵活,特别适用于需要手写复杂 SQL 的场景。接下来,我们将详细介绍 MyBatis 的各个方面。 目录 MyBatis 简介 MyBatis 的基本概念 MyBatis 配置文件 Mapper 文件 Ma
要注意了!这样使用MyBatis框架,被攻击了!
weixin_47067712的博客
07-23 455
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文
jsp页面如何直接显示sql count查询结果_浅谈Mybatis框架下SQL注入漏洞
weixin_39950552的博客
12-24 286
本文是i春秋论坛作家「ofei」表哥分享的一篇技术文章,关于Mybatis框架下SQL注入漏洞的相关内容,感兴趣的小伙伴快来学习吧。公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。01SQL注入漏洞基本原理在常见的Web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的...
MyBatis-3.4.6.zip
06-02
MyBatis是一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解进行配置和原始映射,将接口和Java的...
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
Mybatis3.4.6版本全jar
04-03
5. 集成到应用:在Spring配置文件中配置SqlSessionFactory,并注入到需要使用Mybatis的地方。 总之,Mybatis3.4.6版本的全jar包为开发者提供了一站式的解决方案,使得他们能够便捷地在项目中引入Mybatis,享受其...
引入这个包报错mybatis3.4.6版本和自己的mybatis-plus3.4.0版本冲突
技术老鸟
06-29 627
引入这个包报错mybatis3.4.6版本和自己的mybatis-plus3.4.0版本冲突
Mybatis3.4.6 CRUD
码农践行
10-14 300
`` package cn.qchcloud.mybatisstd.domain; import java.util.List; import cn.qchcloud.mybatisstd.domain.AppUser; public interface AppUserMapper { /** * This method was generated by MyBatis Generator. T...
MyBatis框架远程代码执行漏洞
小小猪的博客
08-18 1395
MyBatis框架远程代码执行漏洞 漏洞分析 官方发布修复此漏洞的方法是添加了反序列化检查,通过补丁比较发现漏洞点: 漏洞点出现在SerializedCache类的私有方法deserialize()中,全局搜索此类,发现该类公有的getObject()方法调用了该私有方法: 在该方法设置断点,跟进发现进入了ScheduledCache类的getObject()方法: 这里可以看到getObject()方法调用了clearWhenStale()方法,是对cache是否过期进行判断
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复
hvang1988的专栏
10-22 8088
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复 1、漏洞详情 【安全通报】MyBatis 远程代码执行漏洞(CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院 波及 mybatis.jar版本 小于<3.5.6 2、漏洞利用前提条件 在满足以下三个条件的时候,攻击者可以触发远程代码执行: ​ 1、用户启用了内置的二级缓存 ​ 2、用户未设置JEP-290过滤器 ​ 3、攻击者找到了一种修改私有Map字段条目的方法, 即修改or
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1251
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
【Web】基于MybatisSQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1430
① #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,会对传入的参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它会对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
Bug总结之Mybatis(2017.3 ~ .4)
greensure的专栏
04-28 283
Date 2017.3 ~ .4 [注] bugs来源于平时coding,解决方案多参考其他博客1 测试验证:utils中 DBConnection 插入100记录,proname值相同,mybatis+spring做查询测试时总是报错(1 days)原因: proname值相同, 无法返回1条数据 Solution: 返回的多条数据可以用List,单元测试时For循环读出,同时修改mybati
学习mybatis中遇到的几个bug
qq_48268296的博客
06-29 421
以上的问题产生的最主要的原因还是刚学基础不够扎实,在解决后加深对这些问题的印象,对于我以后的代码编写也起到了很大的帮助。加深了对于基础知识点的理解。
MyBatis 3.4.6官方用户手册:定制SQL与国际化指南
MyBatis 3.4.6 用户说明书提供了全面的指南,针对2017年发布的最新版MyBatis框架进行了详细阐述。MyBatis是一款流行的持久层框架,其主要优势在于简化JDBC操作,通过XML配置或注解技术,将接口和Java对象(Plain Old...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值