Mybatis 框架下易产生 SQL 注入漏洞的三种情况

最新推荐文章于 2024-04-24 22:52:03 发布
最新推荐文章于 2024-04-24 22:52:03 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: Mybatis 文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44129618/article/details/127076427
版权

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:

1.模糊查询

select * from table where name like ‘%#{name}%’

在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」

这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。

正确写法:

select * from table where name like concat(‘%’, #{name}, ‘%’)

2. in 之后的多个参数

in 之后多个 id 查询时使用 # 同样会报错

select * from table where id in (#{ids})

正确用法为使用 foreach,而不是将 # 替换为 $

id in
<foreach collection="ids" item="item" open="("separatosr="," close=")">
	#{ids}
</foreach>

3. order by 之后
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。

SuZhan7710
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2117
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
202307-MyBatis面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 - 面向对象编程 - 集合框架 - 异常处理 - 多线程编程 2. 数据库: - 熟悉SQL语言 - 了解关系型数据库和非关系型数据库 - 数据库连接池 - 数据库事务 3. Spring框架: - Spring Boot - Spring MVC - Spring Data - Spring Security - Spring Cloud 4. Web开发: - HTML、CSS、JavaScript - HTTP协议 - Servlet、JSP - AJAX、JSON、XML 5. 框架和工具: - MyBatis - Hibernate - Maven、Gradle - Git、SVN - IntelliJ IDEA、Eclipse 6. 微服务: - RESTful API - Spring Cloud Netflix - Docker、Kubernetes 7. 缓存: - Redis - Memcached 8. 消息队列: - RabbitMQ - Kafka 9. 性能优化: - JVM调优 - Tomcat调优 - 数据库调优 10. 安全: - XSS、CSRF、SQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
Mybatis自动生成mapper、实体类及mapper xml文件
weixin_42704604的博客
02-21 2444
项目中用的mybatis,依据数据库表手工写java实体类、mapper接口及mapper xml文件,是一件很郁闷的乏味的事情,而且容易出错,下面记录了一下本人用工具类自动生成这些文件的过程及碰到的坑。参考链接:https://blog.csdn.net/hello_junz/article/details/107287010。引用的第一个包是连数据库的驱动类,这个按照连接的数据库不同替换为对应的配置即可。引用的第二个包是生成mybatis相关文件需要用到的核心包,本文的主角就是它了。
xss mybatis sql注入漏洞修改小技巧
hwssz的专栏
03-05 485
mybatis中使用#号占位符根据参数值类型增加引号,而$占位符则是直接显示原值,所以存在被SQL注入的可能。如果改xml就能修复这个问题,工作量少很多,第2条比较简单,第1条复杂点,试了多次终于可以了,下面是方案,使用eclipse的正则替换,半小时就把这个问题解决了。查看发过来的文档,问题SQL集中在几种SQL,ids参数值'aa','bb' name参数值 aa。等保现在是系统上线的基本要求了,所以 工作中mybatis推荐使用#占位符,避免SQL注入
Mybatis自动生成实体类,Mapper,以及xml
m0_67222745的博客
10-23 2717
Mybatis自动生成实体类,Mapper,以及xml
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 2472
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
关于mybatis用${}sql注入的问题
weixin_61503139的博客
09-17 675
sql注入
【Web】基于MybatisSQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1232
① #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,对传入的参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
online-sale-example:简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护
05-14
简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web...
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,...MyBatis框架SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞挖掘速成特训营 混合式漏洞挖掘研究进展
202312-Redis面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 ...- XSS、CSRF、SQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 481
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1560
c++中string的模拟实现,面试必知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 729
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
PageHelper实现分页查询
m0_63849044的博客
04-24 958
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
Lambda表达式特点
最新发布
weixin_57763462的博客
04-24 646
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Mybatis框架容易产生SQL注入漏洞情况分为以下哪几种? 模糊查询 in之后的多参数查询 order by之后查询 where之后查询
06-09
Mybatis 框架容易产生 SQL 注入漏洞情况主要有以下两种: 1. 拼接 SQL 语句时未进行参数校验:如果在拼接 SQL 语句时,未对参数进行校验或过滤,那么恶意用户可以通过构造特定的参数值来改变 SQL 语句的含义,从而实施 SQL 注入攻击。例如,在 WHERE 子句中使用参数拼接 SQL 语句时,如果不对参数进行校验或过滤,就可能导致注入漏洞。 2. 动态拼接 SQL 语句时未使用参数绑定:如果在动态拼接 SQL 语句时,未使用参数绑定,而是使用字符串拼接,那么恶意用户同样可以通过构造特定的参数值来改变 SQL 语句的含义,从而实施 SQL 注入攻击。例如,在使用动态 SQL 语句时,如果未使用 #{} 进行参数绑定,而是使用 ${} 进行字符串拼接,就可能导致注入漏洞。 因此,模糊查询、IN 之后的多参数查询、ORDER BY 之后查询、WHERE 之后查询等情况都有可能导致 SQL 注入漏洞,需要在编写 SQL 语句时进行参数校验和过滤,并使用参数绑定来避免注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuZhan7710

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值