mysql ibatis like_用Ibatis中Like中SQL注入,被批

最新推荐文章于 2024-04-11 10:15:00 发布
最新推荐文章于 2024-04-11 10:15:00 发布
阅读量153 收藏
点赞数
文章标签: mysql ibatis like
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31028871/article/details/113591777
版权

在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!

sql语句:

select *

from (select 1 from poll

title like '%$title$%'

0 and status & 1 <= 0 and status & 8 <= 0 ]]>

= #startTimeBegin# ]]>

limit 10000

) as t

请关注此写法的:

title like '%$title$%'

存在SQL注入漏洞。

下面是一段单元测试:

PollQuery query = new PollQuery();

query.setCurrentPage(1);

query.setPageSize(50);

query.setTitle("1231%' or '1%' = '1");//很简单的写法:(

List l = pollDAO.findPollList(query);

System.out.println(l.size())

测试结果(打印处的sql语句):

1. select * from poll where title like '%1231%' or '1%' = '1%'

尽管 title 没匹配对,但是or后面那句是恒等的。哎!

看来下面的写法只是简单的转义下:

title like '%$title$%'

如何解决:

在oracle下面改成:title like '%'||#title#||'%',这样肯定是可以的。

但是在mysql中,上述写法是不行,还是有上面的问题的:

select * from poll where title like '%'||?||'%' order by gmt_create desc limit ?, ?

还能查出结果来!哎!

得用:title CONCAT('%',#title#,'%')

select * from poll where title like CONCAT('%',?,'%') order by gmt_create desc limit ?, ?

呵呵,多次测试均没有发现问题!

分享到:

18e900b8666ce6f233d25ec02f95ee59.png

72dd548719f0ace4d5f9bca64e1d7715.png

2009-03-31 17:27

浏览 6054

评论

1 楼

sweat89

2012-12-01

it's helpful to me ,thk

966903dea4bcb507358d5dcce8b912e5.gif

A格调
关注
MyBatisSQL注入攻击和防护——掌握技巧保护应用安全
AI天才研究院
07-28 1251
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
iBatis解决自动防止sql注入
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
mybatis LIKE 查询时 $、# sql注入问题分析
最新发布
heshiyuan1406146854的博客
04-11 697
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
Ibatis自动解决sql注入机制
amqi6260的博客
11-23 187
疑问1:为什么IBatis解决了大部分的sql注入?(实际上还有部分sql语句需要关心sql注入,比如like)   之前写Java web,一直使用IBatis,从来没有考虑过sql注入;最近写php(新手),突然遇到一大堆sql注入问题,如sql语句: SELECT * FROM message WHERE message_id =$id; id通常允许输入数字或字符,如...
concat
weixin_43343423的博客
08-07 262
mysql的字符拼接 like concat('%',#{title},'%')
mysqllike语句注入_like查询SQL注入
weixin_39643865的博客
01-19 4109
list = schoolDao.getSchoolByName("长乐一%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
iBATIS关键字like查询优化与MySQL/SQLServer适配
iBATIS的`<select>`标签用于定义SQL查询,其核心在于如何使用参数化查询来防止SQL注入攻击。原始的想法是直接使用`<#>`符号将参数与SQL语句合并,例如: ```xml select * from t_stu where s_name like #name# `...
mybatis里面mysql的模糊搜索_MyBatis Plus之like模糊查询包含有特殊字符(_、\\、%)...
weixin_33321992的博客
02-07 1410
传统的解决思路:自定义一个拦截器,当有模糊查询时,模糊查询的关键字包含有上述特殊字符时,在该特殊字符前添加\进行转义处理。新的解决思路:将like 替换为 MySQL内置函数locate函数一、问题提出使用MyBatis的模糊查询时,当查询关键字包括有_、\、%时,查询关键字失效。二、问题分析1、当like包含_时,查询仍为全部,即like '%_%'查询出来的结果与like '%%'一...
mybatis的模糊查询like报sql注入问题
dhklsl的专栏
07-19 2310
mybatis模块查询sql注入问题
模糊查询LIKE语句的SQL注入预防
热门推荐
newtelcom的专栏
02-24 2万+
模糊查询LIKE语句的SQL注入预防
ibatis模糊查询的like '%$name$%'的sql注入避免
maidou_2011的专栏
09-27 9548
ibatis模糊查询的like '%$name$%'的sql注入避免。 在用ibatis进行模糊查询的时候很多同学习惯用like '%$name$%'的方式,其实这种方式会造成sql注入ibatis对于$符号的处理是默认不加’‘号的,所以如果传入的参数是: 1'或者是1231%' or 1%' = '1这些形式就回造成注入危险。 解决是避免用like '%$name$%',可以进行字符的拼
iBATIS update 特殊字符处理
flying_pig1989的博客
07-31 1931
在近期项目发现有部分用户投诉文件名带有  单引号、反斜杠及双引号(‘ 、 “)的文件无法上传或者文件名少了反斜杠或双引号,经查实后发现后台执行SQL异常: org.springframework.jdbc.BadSqlGrammarException: SqlMapClient operation; bad SQL grammar []; nested exception is com
ibatis解决sql注入问题
记录点点滴滴
03-20 1658
对于ibaits参数引用可以使用#和$两种写法,其#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法,  1. 对于Oracle可以通过'%'||'#param#'||'%'避免;  2. 对于MySQL
ibatis 动态SQL like 的写法和 大于小于不等于的写法
HouYing
03-24 1万+
 visitdate >= #startvisitdate# and visitdate <= #endvisitdate# and visitpage_ip  <> /jsp/getstrip.jsp and visitpage_ip != /version/jsp/getstrip.jsp  group by visitpage_ip order by co
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4338
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
模糊查询的like '%$name$%'的sql注入避免
fengdijiang的专栏
10-09 1583
模糊查询的like '%$name$%'的sql注入避免 Ibatis like 查询防止SQL注入的方法 Ibatis like 查询防止SQL注入的方法 mysql: select * from tbl_school where school_name like concat('%',#{name},'%') oracle: select * from tbl_schoo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值