mysql防注入原理_mybatis-plus sql注入原理(3.0.1)

最新推荐文章于 2024-05-07 06:51:38 发布
最新推荐文章于 2024-05-07 06:51:38 发布
阅读量496 收藏 1
点赞数
文章标签: mysql防注入原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36282704/article/details/113635112
版权

MP版本为3.0.1

sql注入原理

①,入口类 com.baomidou.mybatisplus.core.injector.AbstractSqlInjector ,重点是这个方法

public void inspectInject(MapperBuilderAssistant builderAssistant, Class> mapperClass) {

String className = mapperClass.toString();

Set mapperRegistryCache = GlobalConfigUtils.getMapperRegistryCache(builderAssistant.getConfiguration());

if (!mapperRegistryCache.contains(className)) {

List methodList = this.getMethodList();

Assert.notEmpty(methodList, "No effective injection method was found.");

// 循环注入自定义方法,这里开始注入sql

methodList.forEach(m -> m.inject(builderAssistant, mapperClass));

mapperRegistryCache.add(className);

/**

* 初始化 SQL 解析

*/

if (GlobalConfigUtils.getGlobalConfig(builderAssistant.getConfiguration()).isSqlParserCache()) {

SqlParserHelper.initSqlParserInfoCache(mapperClass);

}

}

}

②,由AbstractMethod 的injectMappedStatement 方法完成具体的注入,

我们看到实际是有其实现类的一个个injectMappedStatement 来完成注入的

2574bcda1116d7cc1b369c492b29b499.png

③,这里我以DeleteById 为例

@Override

public MappedStatement injectMappedStatement(Class> mapperClass, Class> modelClass, TableInfo tableInfo) {

//得到待解析sql的模板

SqlMethod sqlMethod = SqlMethod.DELETE_BY_ID;

//利用语言驱动和配置信息,table元数据,和刚才得到的sql方法模板得到sqlSource

SqlSource sqlSource = languageDriver.createSqlSource(configuration, String.format(sqlMethod.getSql(),

tableInfo.getTableName(), tableInfo.getKeyColumn(), tableInfo.getKeyProperty()), modelClass);

//最后添加到mybatis的configuration里的mappedStatements中

return this.addDeleteMappedStatement(mapperClass, sqlMethod.getMethod(), sqlSource);

}

④,DELETE_BY_ID的模板如下

由此我们可以猜出,在tableInfo 中必须要能得出表名和该表主键

c47c3b31eddad433e9e40a186def03de.png

执行AbstractSqlInjector #inspectInject 的原理

我们可以在该方法的第一行打一个断点

6e1d1a3e380fde26ba3315b318e2d1b1.png

看我红框圈起来的部门,我们可以大致猜出,是spring容器在实例化组件时,在实例化组件后调用组件的初始化方法,而引起的一连串反应。

通过翻看源码,我大致解释一下

1,AbstractAutowireCapableBeanFactory调用组件的afterPropertiesSet方法,这个组件的beanName为userMapper,这是一个我定义的一个继承自BaseMapper的一个接口

186fa0bd7d123ae15697096d68a55a9e.png

2,不知怎么地,居然跑去调用 DaoSupport的afterPropertiesSet方法(知道的朋友欢迎留言)

cadd8aa0aee91c6f677a0c775f15dc10.png

3,然后调用到了其子类的MapperFactoryBean 的checkDaoConfig方法

重点是一行,这个configuration是继承自org.apache.ibatis.session.Configuration 的子类,是有mp自定义的一个类

configuration.addMapper(this.mapperInterface);

0f4088a11b24085e69d25d8e2fd1adde.png

4,接下来调用com.baomidou.mybatisplus.core.MybatisMapperRegistry的addMapper方法

断点停在了86行

9b2fe16c0c94b10a4ecdb6d1f280df2b.png

5,我们看这个parse方法

利用GlobalConfigUtils 得到ISqlInjector,然后调用其inspectInject方法

ae26f6131aa09d1dc11478a1d5fb73a6.png

6,我们看看mp是如何得到这个ISqlInjector的

public static ISqlInjector getSqlInjector(Configuration configuration) {

// fix #140

GlobalConfig globalConfiguration = getGlobalConfig(configuration);

//从配置里拿,如果有,则用配置的

ISqlInjector sqlInjector = globalConfiguration.getSqlInjector();

if (sqlInjector == null) {

//没有配置,默认给一个DefaultSqlInjector

sqlInjector = new DefaultSqlInjector();

globalConfiguration.setSqlInjector(sqlInjector);

}

return sqlInjector;

}

7,而 DefaultSqlInjector 是继承自 AbstractSqlInjector 类的

由于DefaultSqlInjector没有重写AbstractSqlInjector的inspectInject方法,

所以DefaultSqlInjector在调用inspectInject方法时,实际上会用父类AbstractSqlInjector的inspectInject方法。

武垣清舍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis如何SQL注入
蜻蜓队长
09-11 1241
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
mybatis-plus3.5.2 jar包
06-25
mybatis-plus3.5.2常用jar包,mybatis-plus-3.5.2.jar、mybatis-plus-annotation-3.5.2.jar、mybatis-plus-core-3.5.2.jar、mybatis-plus-extension-3.5.2.jar、mybatis-plus-generator-3.5.2.jar和源码包mybatis-...
mybatis如何SQL注入
01-05
mybatis如何SQL注入
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 7298
在深入讨论如何SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
大数据最全mybatis如何SQL注入_mybatisplus 分页 注入,2024年最新这份资料可帮你解决95%的问题
最新发布
2401_84164721的博客
05-07 442
preparedStatement 预编译对象会对传入sql进行预编译,那么当传入id 字符串为 “update ft_proposal set id = 3;另一种实现方式可以采用存储过程,存储过程其实也是预编译的,存储过程是sql语句的集合,将所有预编译的sql 语句编译完成后,存储在数据库上,由于存储过程比较死板一般不采用这种方式进行处理。sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入。处理使用预编译语句之外,
MyBatis如何SQL注入
weixin_30279671的博客
04-11 74
来源:https://www.cnblogs.com/200911/p/5869097.html SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。 所以,在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常...
18-MyBatis-Plus_mybatis-plus_
10-03
基于 MyBatis 的动态 SQL 功能,MyBatis-Plus 可以实现灵活的 SQL 查询,如 IF、_choose、when、otherwise 等标签。 8. **插件机制** MyBatis-Plus 提供了插件机制,可以自定义拦截器,实现如性能分析、日志打印...
MyBatis-Simplified-Chinese.rar_ mybatis-3_Mybatis-spring_mybatis
09-20
mybatis-spring 是一个 MyBatis 与 Spring 框架的整合库,它提供了与 Spring 的无缝集成,如事务管理、自动扫描 Mapper 类、SqlSession 的自动关闭等,简化了在 Spring 中使用 MyBatis 的过程。 七、最佳实践 1. ...
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
mybatis在持久层框架中还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml中...《MyBatis-Plus入门文档》主要介绍了MyBatis-Plus入门使用,以及关于mybatis-plus的更多介绍及特性,感兴趣的可以下载学习一下
mybatis-plus源码(mybatis-plus-3.5.1.zip)
03-03
此源码包`mybatis-plus-3.5.1.zip`包含了MyBatis-Plus 3.5.1版本的全部源代码,有助于我们深入理解其内部实现机制和工作原理。 MyBatis-Plus的主要功能包括: 1. **CRUD操作**:MyBatis-Plus提供了简化版的CRUD...
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
mybatis-plus拦截sql进行注入
yah108925的专栏
08-30 6269
起因: 之前研究多租户的形式,是有mycat进行。但是mycat切换数据库需要在sql前增加注解语句。项目使用mybatis-plus,进行统一拦截。 上代码: public class MyTenantParser extends TenantSqlParser { /** * 执行 SQL 解析 * * @param stateme...
MybatisPlus是否SQL注入
wgx_0504的博客
05-06 3930
如果我希望使用mybatisplus同时也进行SQL注入操作,应该怎么处理?
【转】mybatis如何sql注入
weixin_33910460的博客
08-18 415
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种...
mybatis模糊查询如何sql注入
海浪博客|技术|游戏|生活|随心
03-21 1783
在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行处理来注入。     在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来sql注入攻击。
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 4478
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞。
MyBatis 3.0.1提供下载
hantsy的专栏
05-24 79
MyBatis 新网站(http://code.google.com/p/mybatis ) 提供了最新的 MyBatis 3.0.1 下载。 3.0.1 并没有没什么新特性,只是迁移到 Google Code 的第一步。 配置文件 DocType 声明的修改:     # # DOCTYPE header for MyBatis XML Configuration fi...
mybatis plus 实体类名字加后缀_MyBatis-Plus入门篇——CRUD
05-29
好的,你的问题是关于MyBatis Plus的实体类命名和CRUD操作的入门指南。 对于实体类的命名,MyBatis Plus推荐在实体类名字后面加上"_MyBatis-Plus"的后缀,这样可以方便区分普通的Java Bean和MyBatis Plus的实体类。例如,如果你要创建一个User实体类,可以将它命名为User_MyBatis-Plus。 关于CRUD操作,MyBatis Plus提供了许多方便的方法来简化数据库操作。其中,常用的方法包括: - insert:插入数据到数据库中。 - updateById:根据主键id更新数据。 - selectById:根据主键id查询数据。 - deleteById:根据主键id删除数据。 - selectList:查询数据列表。 除了以上提到的方法,MyBatis Plus还提供了很多其他的方法,可以根据具体的需求选择使用。 希望以上回答能够帮助到你,如果你还有其他问题,可以继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值