mysql注入模糊_sql模糊查询,以及sql注入问题

最新推荐文章于 2024-02-18 15:27:18 发布
最新推荐文章于 2024-02-18 15:27:18 发布
阅读量1.2k 收藏 2
点赞数
文章标签: mysql注入模糊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39638859/article/details/113348193
版权

mysql 模糊查询 与 sql注入

一、根据姓名模糊查询员工信息

方式一

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like #{empName}

以上方式需要在传值时加上%% 即 %张三% 手动添加通配符

方式二

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like '%${empName}%'

通过$方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题:会引发sql注入的问题

方式三

既能解决sql注入又能够在位置文件中写%,可以使用mysql的函数 concat

select

id, emp_name as empName,

sex,email,birthday,address

from

t_employee

where

emp_name like concat('%',#{empName},'%')

补充

对于方式三也可使用 $ 即

emp_name like concat('%','${empName}','%')

总结

{}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值

传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入

${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入

二、sql注入

1、什么是sql注入

通过输入的内容,改变原程序中的sql语句的结构,从而实现无账号登录、甚至篡改数据库

2、sql注入攻击实例

String sql = "select * from user_table where username = '"+username+"' and passwrod ='"+password+"';

当上述sql 中参数输入 ‘or 1=1 -- and password ='’ 无论输入的账号密码是什么一定会成功

3、sql注入的原理

注入原因:sql语句接收来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,从而改变了sql语句本身,造成sql注入。

4、防范方法

检查变量数据的类型和格式

过滤特殊字符

绑定变量,使用预编译语句 最佳方式: 即在sql语句中,变量用问号?表示

5、什么是sql预编译

预编译语句是什么

通常我们的一条sql在db接收到最终执行结果返回分为三个过程

词法和语义解析

优化sql语句,制定执行计划

执行并返回结果

所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者参数化,一般称这类语句叫做Prepared Statements

预编译语句的优势在于:依次编译,多次运行,省去课解析优化过程,还能防止sql注入

6、mybatis 如何防止sql注入

1、以下sql的区别

select id, username, password, role

from user

where username = #{username,jdbcType=VARCHAR}

and password = #{password,jdbcType=VARCHAR}

select id, username, password, role

from user

where username = ${username,jdbcType=VARCHAR}

and password = ${password,jdbcType=VARCHAR}

将传入的数据都当成一个字符串,会自动对传入的数据加一个双引号。

如: where username =#{username}, 如果传入的值是111,那么解析成sql的值为 where username =“111”

$将传入的数据直接显示生成在sql 中

如 where username =${username} 如果传入的值为111,那么解析成sql时的值为where username =111;

如果传入的值为 ;drop table user 则会有删表现象

因此 :#方式能够很大程度上防止sql注入,$方式无法防止sql注入

$方式一般用于传入数据库对象, 例如传入表名

【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

2、mybatis 如何防止sql注入

MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,参考上面的两个例子。其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:

select id, username, password, role from user where username=? and password=?

3、mybatis 底层实现防止sql注入的原理:

【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译

weixin_39638859
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC学习笔记(2)--sql注入问题模糊查询、事务
weixin_43788771的博客
04-21 780
sql注入模糊查询,与事务
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1136
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
mysql注入模糊_模糊查询-动态参数,防SQL注入
weixin_42131443的博客
01-19 209
Centos6.6下安装MySQL5.61.先查看本机上已经安装的MySQL rpm –qa | grep -i mysql 如果存在信息说明已经安装MySQL 需要完全卸载以前的MySQL yum remove mysql mysql-s ...JAVA元运算,一元运算,二元运算,三元运算一元运算: 序号 一元运算 说明 1 i++ 给i加...
mysql防止注入模糊查询
小鲍侃java
07-01 1132
AND ur.routeName LIKE concat(concat('%',REPLACE(#{routeName},'%','\%')),'%') AND ur.routeName LIKE concat(concat('%',REPLACE(#{routeName},'_','\_')),'%')
MyBaits系列(三)MyBatis的模糊查询SQL注入
大鱼的博客
04-28 915
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
SqlServer使用 case when 解决多条件模糊查询问题
09-10
在多条件模糊查询中,`CASE WHEN` 可以避免在程序端或数据库端拼接SQL串,从而减少代码量,提高安全性,并避免SQL注入问题。 在描述的示例中,我们看到了如何利用`CASE WHEN` 结合`CHARINDEX` 函数来实现多条件...
Python使用sql语句对mysql数据库多条件模糊查询.pdf
11-27
Python 使用 SQL 语句对 MySQL 数据库多条件模糊查询 Python 是一种广泛使用的编程语言,而 MySQL 是一种常用的关系型数据库管理系统。在实际应用中,我们经常需要使用 Python 连接 MySQL 数据库,并执行多条件...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
sql注入字典fuzz
01-11
为了有效地检测和防范此类攻击,安全研究人员和工程师们常常会采用SQL注入字典(SQL Injection Dictionary)来进行模糊测试(Fuzzing)。本文将深入探讨SQL注入字典fuzz的相关知识点。 #### 二、SQL注入基础 SQL...
渗透入侵\Safe3 SQL注入安全检测工具V9.0.zip
07-15
它能够模拟多种类型的SQL注入攻击,包括但不限于错误基线注入、时间基线注入、盲注、联合查询注入等,覆盖了SQL注入的各个层面。此外,该工具支持对多种数据库系统的检测,如MySQL、Oracle、SQL Server等,确保了跨...
模糊查询注入
微笑偷走我的魂的博客
05-31 767
关于模糊查询注入,目前有两种解决方案:1.是采用:name like '%' || #name# || '%' 这种方式,但是使用的时候,考虑到索引问题,上面这种语句是不会走索引的,有时候会遇到检索不到数据奇怪的现象,所以不推荐。2.是在代码层做控制 : if (!StringUtil.isEmpty(this.companyName)) {       table.setCom
sql模糊搜索代码php,like模糊匹配以及简易SQL注入
weixin_31509859的博客
03-26 315
基本增,删,查,改配合like,between等操作假设存在数据库为WebApplication 表名User 如下所示IDUsernamePasswordAccess1adminadmin@nimdatrue2Alicealice@ecilafalse3Bobbob@bobfalse4Cindycindy@ydnicfalse语法使用查 应用场景:查到可能是管理员且有权限的用户名以及密码sele...
模糊查询的like '%$name$%'的sql注入避免
fengdijiang的专栏
10-09 1539
模糊查询的like '%$name$%'的sql注入避免 Ibatis like 查询防止SQL注入的方法 Ibatis like 查询防止SQL注入的方法 mysql: select * from tbl_school where school_name like concat('%',#{name},'%') oracle: select * from tbl_schoo...
【JOOQ】解决模糊查询sql注入问题
Qing__zi的博客
03-09 564
jooq模糊查询,解决sql注入
模糊查询 防止SQL注入
fangyana的博客
12-04 748
bind + #{} 模糊查询防止SQL注入(#{}进行预编译,传递的参数不进行编译,只作为参数,相当于PreparedStatement) bind元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。比如: <select id="selectBlogsLike" resultType="Blog"> <bind name="pattern" value="'%' + _parameter.getTitle() + '%'" /> SELECT * ...
模糊查询避免sql注入
ala68965的博客
12-12 341
代码实现是从别的视频里面看到的,感到挺好,所以分享 1,界面设计: 2,具体代码实现 转载于:https://www.cnblogs.com/gxwa/p/8026301.html
Mabatis中模糊查询防止sql注入
雏鸟飞翔之路
07-17 531
  #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   select * from user where name like concat('%', #{name}, '%') Oracle:  select * from use...
网络安全必学SQL注入SQL语句关键词,SQL注入攻击实例分享!!!
最新发布
logic1001的博客
02-18 1323
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
mysql like 防注入_mybatis模糊查询防止SQL注入
weixin_39946429的博客
01-27 585
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可...
mysql模糊查询Sql注入问题
08-04
MySQL中,模糊查询SQL注入问题是一个需要注意的安全隐患。当我们在拼接模糊查询条件时,如果不对输入参数进行处理,就有可能导致SQL注入攻击。引用[1]中提到,在使用MyBatis进行模糊查询时,如果将模糊查询条件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值