MyBatis Order By注入错误

最新推荐文章于 2024-07-30 09:06:15 发布
最新推荐文章于 2024-07-30 09:06:15 发布
阅读量5.1k 收藏 6
点赞数 1
分类专栏: Java基础 通用方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w605283073/article/details/89362462
版权

在开发过程中,安全问题非常重要,一定要注意sql注入问题。

常见的写法如下:

order by ${orderBy}  ${orderType}

这里orderBy, orderType是前端传过来的话很容易产生sql注入问题。

《Mysql Order By注入总结》专门讲了如何利用这点进行常见的和猜测的sql注入。

 

为什么这样呢,因为mybatis里  $部分是原样输出的,拼接字符串的形式。

建议使用#方式,

order by #{orderBy}  #{orderType}

#{}是经过预编译的,是安全的,而${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入。

 

建议先在使用工具类对此类参数进行过滤,避免传到数据库中执行SQL报错。

类似于《图解Javad多线程设计模式》中所讲的“Balking模式”的思路,通过参数校验来保护目标处理。

推荐两种做法。

第一种:通过工具类比如用正则表达式,判断是否有除了英文大小写,数字和下划线外的其他特殊字符。

第二种:编写工具类,对orderType匹配是否为DESC,desc,ASC,asc四个字符串,orderBy是否在指定的规定Set<String>的属性中。

这里Set建议使用不可变集合。

如:

private static final Set<String> VALID_COLUMNS_FOR_ORDER_BY
  = Collections.unmodifiableSet(Stream
      .of("acc_number","branch_id","balance")
      .collect(Collectors.toCollection(HashSet::new)));

或者

private static final Set<String> VALID_COLUMNS_FOR_ORDER_BY = ImmutableSet.of("acc_number","branch_id","balance");

工具类这里就不给出来了,写出来很容易。

 

相关文章:

https://www.programering.com/a/MzM1gDMwATE.html

https://www.baeldung.com/sql-injection

https://www.cnblogs.com/chyu/p/4389701.html

如果觉得本文对你有帮助,欢迎点赞评论,欢迎关注我,我将努力创作更多更好的文章。

 

明明如月学长
关注
专栏目录
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 233
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
详解mybatis的#{}和${}的区别以及order by注入问题
蜻蜓队长
09-09 445
直奔主题… #{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "domain_id"); System.out.println(st.toString());  Res
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
热门推荐
03-19 3万+
字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串
针对ORDER BY子句的SQL注入
qq_69100706的博客
07-30 299
在CTF(Capture The Flag)竞赛中,针对ORDER BY子句的SQL注入是一种利用Web应用程序逻辑漏洞的技术,通常在应用程序对数据库查询结果排序时出现。当应用程序没有正确清理或参数化用户输入,并将其直接用于ORDER BY子句时,攻击者可以注入额外的SQL代码,从而控制查询结果的排序方式,甚至执行更复杂的SQL操作。
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
Mybatisorderby引起的sql注入
西溪少女的梦
07-01 4032
sql中两种传参数的方式: #{param} 这种是经过预编译的,不会有sql注入 ${param} 这种仅仅取变量的值,可以有sql注入 但是在orderby中之能用${param},用#会导致排序不生效。 例如,传入值为name时 用 SELECT * FROM STUDENT ORDER BY #{orderby}会变成: SELECT * FROM STUDENT OR...
Mybatis语句order by 参数动态注入问题
Crazy_T_B的博客
02-27 3534
今天一个order by +动态参数 问题困扰了一个下午,所以写个博客反思一下。起因是xml里面有个查询语句用到了order by 然后加上动态的参数,当时想都不想直接上#{param,jdbcType=VARCHAR}。然后运行项目,结果不报错,但是就是没有我想要的结果,然后将动态参数换成固定参数结果有正确了,于是发现是查询语句问题,动态参数的问题,然后各种找啊(教训:日志没有输出sql语句这就...
Mybatis防止sql注入的实例
08-30
如果我们给参数“orderParam”赋值为”id”,将sql打印出来,是这样的:select id,title,author,content from blog order by id 显然,这样是无法阻止sql注入的。 结论:在编写mybatis的映射语句时,尽量采用“#{...
面试时遇到order by注入我直接懵了
hackzkaq的博客
03-18 873
零基础学白帽黑客,搜公众号:白帽子左一。
mybatis order by防注入
最新发布
08-08
MyBatis中的`order by`语句通常不会直接涉及SQL注入攻击,因为它是在映射文件(例如.xml)中预定义好的,而不是动态构造SQL。然而,如果你允许用户输入的部分影响了排序条件,比如通过前端表单传递的参数,那么潜在...
mybatis order by 排序
xiaofanren1111的博客
03-07 2万+
在使用MyBatis解析xml进行排序的时候,遇见排序无效的问题!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传入的数据直接显示生成在sql中。如:order by ${user_id},...
Mybatis order by / group by 漏洞注入解决方案
心之所系的博客
05-27 3408
<if test="orderByClause != null and !(orderByClause.indexOf(';')>=0) and !(orderByClause.indexOf('\'')>=0)" > ORDER BY ${orderByClause} </if>
[Java安全]—Mybatis注入
Sentiment的博客
09-30 2665
Mybatis注入留在了Spring后,因为感觉用Spring搭建web端后再进行注入比较贴合实际一些。
Mysql Order By 注入总结
vspiders的博客
10-22 2507
前言 最近在做一些漏洞盒子后台项目的总结,在盒子多期众测项目中,发现注入类的漏洞占比较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概率小)。今天给大家分享下一些关于Order By的有趣的经验。 何为order by 注入 本文讨论的内容指可控制的位置在order by子句后,如下order参数可控:select * f
Mybatis xml中排序(order by)条件用#{}查询失败
简单-生活
01-10 1341
Mybatis中${}和#{}的区别:https://blog.csdn.net/BBQ__ZXB/article/details/127089187。处理简单分页时,发现从外部传入的排序条件无法生效,但程序无报错,正常返回列表,只是排序条件不对;1、当查询语句使用#{},例如传入"update_date desc"排序条件,生成语句如下。#{}表示一个占位符,当#{}传入的数据是一个字符串时,会自动将传入的数据加一个双引号。使用${}将传入的数据直接显示生成在sql中;
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2968
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
mybatisorder by注入问题,需要使用${}
沙漏
01-21 8000
前几天使用# 对order by进行SQL动态注入,发现不生效。 网上查看解决方案。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。 orderby是肯定只能用 {}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${}。...
Mybatis ORDER BY 排序失效 & ORDER BY 与 CASE WHEN THEN 排序问题
Muxiu
08-19 3137
如果传递给 mapper 的参数值是以#{test_参数}的形式,那么就会报错具体如下:传递参数是name排序规则是升序
Oracle 使用LISTAGG有序合并字段,并处理MyBatis报错
单v纯微笑的博客
05-18 912
Oracle 使用LISTAGG有序合并字段 SELECT <分组字段>, LISTAGG(<需要合并的字段>, '<分隔符>') WITHIN GROUP(ORDER BY <排序字段>) <合并字段别名> FROM <表名> GROUP BY <分组字段> MyBatis 合并后的字段太大查询报错解决 <!-- CLOB结果处理 --> <resultMap id="cl.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明明如月学长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值