Mybatis框架常见SQL注入攻击以及解决方案

最新推荐文章于 2024-07-09 19:10:54 发布
最新推荐文章于 2024-07-09 19:10:54 发布
阅读量2.1k 收藏 5
点赞数
文章标签: mybatis mysql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44012027/article/details/108249895
版权

一. 什么是SQL 注入

关于SQL 注入在科普中国的词条上是这样解释的:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

在mybatis 中最常见的注入风险是书写的时候使用${}

来举一个很简单反例

select name from user_info where id = ${id}

正例

select name from user_info where id = #{id}

Mybatis 中这样书写SQL 语句无疑是有SQL 注入风险的,为什么${} 有注入的风险而#{} 没有注入风险?

在来理清#{} 和 ${}的区别之前我们先回顾 preparedstatement和statement的其中一些区别

1、PreparedStatement是预编译的,可以批量处理数据,statement则相反。

2、传递给PreparedStatement对象的参数可以被强制进行类型转换,statement则相反。

3 、 #{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,如上面的值 “1,ab,c”就会变成“ ‘1,ab,c’ ”

4、 是 字 符 串 替 换 , M y B a t i s 在 处 理 { }是字符串替换, MyBatis在处理 MyBatis{ }时,它会将sql中的${ }替换为变量的值,传入的数据不会加两边加上单引号。

使用${ }会导致sql注入!

二 、 在mybatis 中常犯的错误有以下三种

1. 模糊查询

反例

select name from user_info where name like ‘%${name}%

有些程序员不留意就会犯这个错误,因为以下的写法Mybatis 是会报错的,所以选择用了 ${name}

select name from user_info where name like ‘%#{name}%// 这样写Mybatis 会报错

解决方案:

正例

select name from user_info where name like concat(%,#{name},%)

2. in 之后传的参数

同样的在in 之后使用 #{} Mybatis 也会报错,很多同事会用${} 代替

反例

select name from user_info where id in (${ids})

解决方案:
正例

select name from user_info where id in <foreach collection="ids" item="item" open="("separatosr="," close=")">

3. order by 之后传的参数

同样的在order by 之后使用 #{} Mybatis 也会报错,很多同事会用${} 代替

反例

select name from user_info order by ${id}

解决方案:
正例

select name from user_info order by concat(%,#{id},%)
Edison-XX
关注
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2605
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
mybatis ${} sql注入
心帆唯一的专栏
04-28 8987
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
mybatis SQL注入攻击
Neven的博客
10-13 758
SQL注入,大家都不陌生,是一种常见攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平时开发中,可能
【第24章】MyBatis-Plus之SQL注入
最新发布
zjg
07-09 1424
MyBatis-Plus 提供了灵活的机制来注入自定义的 SQL 方法,这通过全局配置实现。通过实现接口或继承抽象类,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的类中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个类来继承,并重写方法来注册你的自定义方法。
要注意了!这样使用MyBatis框架,被攻击了!
weixin_47067712的博客
07-23 456
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文
Mybatis的orderby引起的sql注入
西溪少女的梦
07-01 4032
sql中两种传参数的方式: #{param} 这种是经过预编译的,不会有sql注入 ${param} 这种仅仅取变量的值,可以有sql注入 但是在orderby中之能用${param},用#会导致排序不生效。 例如,传入值为name时 用 SELECT * FROM STUDENT ORDER BY #{orderby}会变成: SELECT * FROM STUDENT OR...
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
在当今的信息安全领域中,SQL注入攻击作为一种常见的安全威胁,一直困扰着许多使用MyBatis等ORM框架的开发团队。MyBatis作为一款流行的Java持久层框架,广泛应用于京东、阿里、美团等公司的项目中。由于其灵活性和...
mybatissql_mybatis解决sql注入
12-22
2. **使用SafeMapper插件**:MyBatis社区提供了一个名为SafeMapper的插件,它可以自动检查SQL语句,确保所有的用户输入都被正确地转义,防止可能的SQL注入攻击。 3. **使用MyBatis的拦截器**:通过实现`Interceptor...
用了MyBatis就不会发生SQL注入风险吗?
空空说技术的博客
05-17 4988
用了MyBatis就不会发生SQL注入风险吗? SQL注入问题是很久的事情了,而且现在mybatis,hibernate等框架使用较为成熟了,但是作为一个T新手肯定要对一些本质上的安全问题从新从头梳理一下。 本文主要说SQL注入中的Statement对象,PreparedStatement对象,和mybatis注入风险 \color{red}{本文主要说SQL注入中的Statement对象,PreparedStatement对象,和mybatis注入 风险 ~ }本文主要说SQL注入中的Sta
SQL注入漏洞过程实例及解决方案
09-08
这就是典型的SQL注入攻击。 为了解决这个问题,我们可以采用预编译的`PreparedStatement`对象,它能有效防止SQL注入。`PreparedStatement`会将用户输入的数据与SQL语句分离,确保即使输入包含特殊字符,也不会被...
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
MyBatisSQL注入攻击和动态SQL
qq_36331657的博客
02-06 1535
SQL注入的危害: 1、数据库被拖库(把数据从数据库拉取出来); 2、重要信息被泄露等; 注入攻击的本质,是把用户输入的数据当做有效代码执行; 举例: 当用户发送GET请求: https://ke.qq.com/course.jsp?id=1 这是一个课程详情页面,会显示出课程的title和content,程序会接收id参数传递给SQL语句,SQL如下: SELECT title, content...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 3390
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
关于mybatis用${}会sql注入的问题
weixin_61503139的博客
09-17 769
sql注入
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
程序员白楠楠的博客
08-04 135
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xm
Mybatis 框架下 SQL 注入攻击的 3 种方式
Memory1011的博客
11-16 70
转自:http://www.pinlue.com/article/2020/07/0715/0610984945608.html
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Edison-XX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值