Spring Boot项目中防止SQL注入

最新推荐文章于 2024-05-16 11:55:16 发布
最新推荐文章于 2024-05-16 11:55:16 发布
阅读量3.9k 收藏 6
点赞数 2
分类专栏: Mybatis Spring Boot 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang13145/article/details/107836878
版权

1.首先是原始的jdbc连接数据库,手写sql引起的SQL注入问题

1.不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)

String param = "'test' or 1=1";
String sql = "select file from file where name = " + param; // 拼接SQL参数
PreparedStatement preparedStatement = connection.prepareStatement(sql);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

输出结果为true,DB中执行的SQL为

-- 永真条件1=1成为了查询条件的一部分,可以返回所有数据,造成了SQL注入问题
select file from file where name = 'test' or 1=1

2. 使用PreparedStatement的set方法设置参数

String param = "'test' or 1=1";
String sql = "select file from file where name = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, param);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

输出结果为false,DB中执行的SQL为

select file from file where name = '\'test\' or 1=1'

我们可以看到输出的SQL文是把整个参数用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分

 

2.Mybatis中防止SQL注入

<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
</select>
<select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap">
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
</select>

mybatis中的#和$的区别:

1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id". 
2、$将传入的数据直接显示生成在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
如果传入的值是;drop table user;,则解析成的sql为:select id, username, password, role from user where username=;drop table user;
3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名.
5、一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,“${xxx}”这样格式的参数会直接参与SQL编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的参数需要我们在代码中手工进行处理来防止注入。
【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击

 

Ice Wang
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
7、springboot-防止sql注入
aunt_y的博客
05-25 4442
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止sql注入部分 sql注入是什么 ​ SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库的数据进行交互时会采用SQL。 ​ 而SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。 ​ 如Web应用程序的开发人员对用户所输入的数据或cooki
springboot-防止sql注入,xss攻击,cros恶意访问
weixin_45817985的博客
07-17 1404
springboot-防止sql注入,xss攻击,cros恶意访问
Springboot集成sql注入设置
hao_kkkkk的专栏
10-21 3038
sql注入 安全开发 springboot
Spring Boot 如何护 XSS + SQL 注入攻击 ?终于懂了!
最新发布
weixin_44421461的博客
05-16 93
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
java springboot sql注入的6种方式
qq_34874784的博客
08-24 3966
4. 使用ORM框架提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句。6. 使用安全的编码方式:在将用户输入插入到SQL语句时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。
springboot防止XSS攻击&&SQL注入
qq_41798504的博客
04-14 1094
SpringBoot下通过过滤器实现对Xss攻击和Sql注入
SpringBoot项目防止Sql注入拦截器
qq_29991719的博客
12-08 1524
防止Sql注入拦截器
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。 SQL注入...
Spring Boot文文档.rar
12-06
spring boot文文档,从安装到部署。 I. Spring Boot文件 1.关于文档 2.获得帮助 3.第一步 4.使用Spring Boot 5.了解Spring Boot功能 6.转向生产 7.高级主题 II。入门 8.介绍Spring Boot ...
SpringBoot集成Mybatis实现简单的SQL注入(攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Spring Boot使用jdbctemplate 操作MYSQL数据库实例
08-30
它还支持参数化查询,防止SQL注入,提高了代码的安全性。 总的来说,Spring Boot结合JdbcTemplate为数据库操作提供了简洁、安全且高效的API。通过上述步骤,你可以轻松地在Spring Boot应用实现对MySQL数据库的...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot-freemarker:包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
Spring boot 目录结构总结
08-08
Spring Boot 项目的目录结构非常重要,合理的目录结构可以使项目更加易于维护和扩展。 在 Spring Boot 项目,通常会包含以下几个目录: * src/main/java:存放 Java 源代码的目录 * src/main/resources:...
Spring Boot SQL 注入攻击是什么,原理,如何预
it_xushixiong的博客
07-06 2436
SQL 注入攻击是一种常见的网络安全问题,可以通过注入恶意的 SQL 代码来获取或篡改数据库的数据。在 Spring Boot ,由于使用了 ORM 框架,开发人员往往会忽略 SQL 注入攻击的风险。为了防止 SQL 注入攻击,开发人员可以采取参数化查询、输入验证和过滤、使用安全的 ORM 框架、使用安全的数据库配置以及记录日志并监控异常等措施。
如何防止sql注入防止sql注入方法介绍
小小博客爱分享
08-18 7329
一、什么叫SQL注入攻击?sql注入简介 SQL注入是较为普遍的互联网攻击方法,它并不是通过电脑操作系统的BUG来完成攻击,而是对于程序编写时的疏漏,利用SQL语句,达到无帐号登录,乃至改动数据库的目的。 SQL注入产生的原因便是:没经查验或是未充分检验的输入数据,出现意外变成了sql代码而被执行。对于SQL注入,则是递交的数据,被数据库系统编译而造成了开发人员预估以外的问题。也就是说,SQL注入是用户的输入信息,在连接SQL语句的过程,跨越了数据本身,变成了SQL语句逻辑的一部分,随后被拼凑的SQL
springboot 测试sql注入
03-16
Spring Boot提供了多种方式来防止SQL注入攻击,以下是一些常用的方法: 1. 使用预编译语句 使用预编译语句可以避免SQL注入攻击,因为预编译语句会将参数值与SQL语句分开处理,从而避免了恶意输入的影响。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值