Mybatis检查SQL注入

最新推荐文章于 2024-07-09 19:10:54 发布
转载 最新推荐文章于 2024-07-09 19:10:54 发布 · 580 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/mysticbinary/articles/10284623.html
文章标签:

#java #网络 #开发工具

目录

Mybatis的#{ }和${ }的由来

Mybatis的Mapper.xml语句中parameterType向SQL语句传参有两种方式:#{ }和${ }。

使用#{ }来防止SQL注入,使用${ }来动态拼接参数。


如何排查出

1. 检查是否有$号

如果你使用的是IDEA,那么通过快捷键Ctrl+Shift+R打开窗口,通过全局搜索${ , 快速定位到使用${  }拼接SQL的语句,在去找到外部传入参数的入口,闭合sql证明即可。

2. 检查是否有order by

同样的在搜索是否使用order by 排序语句,如果有一步一步追踪是否有外部参数,未过滤就直接传递到order by语句里面来。


为什么#{ }就安全

#{ } 就类似JDBC的预编译,所以安全。类似如下SQL语句,只是类似啊,JDBC的预编译原理我不是很懂,希望后面能专门去研究一番,并写博文。

  • 使用 ${ }效果是:
select * from testtable where id="1" or true or id  # 1后面就是被攻击者恶意构造的字符

1552062-20190117211033844-382285751.png

  • 而使用#{ } 的效果是:
select * from testtable where id="1\" or true or id\""         # 1后面就是被攻击者恶意构造的字符

1552062-20190117211141890-1011978601.png


什么情况下用不了#{}

order by 排序情况不行。为什么?

先复习一下order by的用法:

order by就是一个排序的工具,跟我读一遍:“order by就是一个排序的工具”。

# 这个1就是指第一个列索引,也可以写id (列索引)
select * from testtable ORDER BY 1 ASC #ASC表示按升序排序,DESC表示按降序排序
# 两个代码是一样的
select * from testtable ORDER BY id ASC #ASC表示按升序排序,DESC表示按降序排序

1552062-20190117211637867-227072793.png



对于order by 我们是用不了#{}的,因为用了这个就会被自动转换成字符串,自动加引号,这样语句就不生效了。

<select id="selectStudentsByName" resultType="Student">
    select id,name,age,score from student order by #{column}
</select>
<!--编译出来的结果如下:-->
select * from table order by 'column'



1552062-20190117211902759-2062362574.png
会发现加上“” 双引号符号后,就没法正常排序了。



如何解决:
使用${},MyBatis就不会修改或转义改字符串。但是这样又不安全,会导致潜在的SQL注入攻击。所以我们需要自己去限制,不允许用户输入一些非法字段,或者通常自行转义并检查。所以这必须过滤输入的内容。



总结:
即使是安全的sql预编译技术,也是有适用范围的,一些应用场景也是不适用的。当我们在做黑盒或者审计的时候,碰到了预编译处理不了的场景,比如说排序功能的时候就得格外注意,因为这里不仔细审查,日后就是一个祸端。


一些深入的建议

根据 gyyyy(https://github.com/gyyyy)大神的指导,他说关于#和$的具体细节区别研究,可以从两个点入手:一个是网络协议层,一个是框架底层。

转载于:https://www.cnblogs.com/mysticbinary/articles/10284623.html

代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 802
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
MyBatisSQL注入攻击和防护——掌握技巧保护应用安全
AI天才研究院
07-28 1565
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
MyBatis 1】SQL注入
2401_84046677的博客
04-18 1074
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利时间:简历模板+Java面试题+热门技术系列教程视频《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!列教程视频[外链图片转存中…(img-PzLybdSI-1713400836427)]
Mybatis源码阅读番外篇——Sql注入问题
D的博客
03-12 6538
SQL注入查漏补缺
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
MyBatissql注入
qq_62965575的博客
12-19 898
${}和#{}的区别 sql注入 底层 jdbc类型转换 单个简单类型的参数 $ 不防止 Statement 不转换 value # 防止 preparedStatement 转换 任意 结论:除模糊匹配外,杜绝使用${}
Mybatis下的sql注入
qq_49849300的博客
01-31 397
安全学习
java持久层框架mybatis防止sql注入的方法
09-01
Java持久层框架MyBatis是开发者常...在编写MyBatis的映射语句时,优先选择`#{}`参数化方式,同时结合代码层面的输入检查,可以大大降低SQL注入的可能性。在面对复杂的动态SQL需求时,应更加小心,确保安全措施到位。
MybatisSQL注入
2302_79184324的博客
10-12 1218
我们使用一个开源的cms来分析,java sql注入问题适合使用反推,先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL,找到利用点,话不多说走起。以上就是Mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。根据文件名带Dao的xml为我们需要的,以IContentDao.xml为例,双击打开,ctrl +F 搜索$,查找到16个前三个为数据库选择,跳过,
MyBatis操作数据库(SQL注入
weixin_64308540的博客
03-05 1804
本文主要来讲解6大标签,以便更好的MyBatis操作数据库!
SQL注入Mybatis框架下的sql注入白盒审计
m0_61572518的博客
03-20 5516
一、Mybatis框架下sql语句的两种写法 1.select * from [tablename] where [column]=#{value} #{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。 2.select * from [tablename] where [column]=${value} ${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。 二、Mybatis框架下两种提供SQL语句的方式 1.在*map
Mybatis sql注入
wwhhff11
06-12 835
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 867
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
【第24章】MyBatis-Plus之SQL注入
最新发布
zjg
07-09 2793
MyBatis-Plus 提供了灵活的机制来注入自定义的 SQL 方法,这通过全局配置实现。通过实现接口或继承抽象类,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的类中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个类来继承,并重写方法来注册你的自定义方法。
MyBatisSQL注入
猎户星座
12-05 803
一、Mybatis SQL注入防护原理 sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安...
MyBatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
hnjsjsac的博客
07-01 1779
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。MybatisSQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,MyB...
MybatisSQL注入
浩瀚银河
10-16 2680
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
mybatisSQL注入
Java晋升
12-15 817
SQL注入 1.SQL 注入 首先了解下概念,什么叫SQL 注入SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 给大家举几个常见的SQL注入的例子: 1.比如验证用户登录需要 userna...
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1953
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
Mybatis框架SQL注入策略详解
本文将深入探讨Mybatis框架中的SQL注入问题,并提供相应的防护策略。 一、MybatisSQL注入机制 Mybatis提供了两种参数绑定方式:#和$。使用#时,Mybatis会进行预编译处理(类似PreparedStatement),可以有效防止...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值