Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!

最新推荐文章于 2024-06-13 11:50:22 发布
最新推荐文章于 2024-06-13 11:50:22 发布
阅读量75 收藏
点赞数
文章标签: sql

                   Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!

                                                          前言

SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。

新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。

一、Mybatis的SQL注入

Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。

Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。比如:

<select id="queryAll"  resultMap="resultMap">  SELECT * FROM TABLENAME</select>

 

1、模糊查询

Select * from news where title like ‘%#{title}%’

在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法:

select * from news where tile like concat(‘%’,#{title}, ‘%’)

2、in 之后的多个参数

in之后多个id查询时使用# 同样会报错,

Select * from news where id in (#{ids})

正确用法为使用foreach,而不是将#替换为$

id in<foreach collection="ids" item="item" open="("separatosr="," close=")">#{ids} </foreach>

3、order by 之后

这种场景应当在Java层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。

谢月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis 框架SQL注入攻击的3种方式真是防不胜防
程序IT圈
07-03 351
作者|sunnyf来源|https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与...
mysql占位符 防注入_mybatis是如何防止SQL注入的(转)
weixin_28946193的博客
02-02 930
select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHAR} select id, username, password, role from user where username = $...
MyBatis 框架SQL 注入攻击的 3 种方式真是防不胜防
架构师小秘圈
08-27 158
来源:FreeBuf.COM链接:https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编...
mybatis 防止sql注入的 循环map写法
weixin_30315905的博客
06-28 104
<foreach collection="condition.keys" item="k" separator="and"> <if test="null != condition[k]"> ${k} = #{condition[${k}]} </if> </foreach> 转载于:https://www.cnblogs....
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
详解Mybatis框架SQL注入指南
08-18
主要介绍了详解Mybatis框架SQL注入指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
mybatis防止SQL注入的方法实例详解
08-27
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。那么mybatis是如何防止SQL注入的呢?下面脚本之家小编给大家带来了实例代码,需要的朋友参考下吧
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis 框架SQL 注入攻击的 3 种方式真是防不胜防
互联网架构小马的博客
10-20 519
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。 MybatisSQL语句需要我们自己手动编写或者用generator自动生成
Mybatis防止sql注入原理
任我行哟的博客
11-02 8747
SQL 注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL 语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自] SQL注入 - 维基百科SQL注入,大家都不陌生,是一种常见的攻击方式攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“或'1'='1'”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些,来防备这...
MyBatis如何防止SQL注入
aodaidi6752的博客
09-13 1396
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者)。[摘自]SQL injection - Wikipedia SQL注入,大家都不陌生,是一种常见的攻击方式攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所...
mybatis ${} sql注入
建伟博客
03-22 4830
mybatis中${}的sql注入解决方案主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议首先#{}和${}在预编译中的处理是不一样的。#{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句:select * from user where name = ?;${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成sele...
mybatis foreach 用法总结
风林火山
09-04 8837
1. findByIds(List<Integer> ids) 传入参数为单一list参数时的写法 <foreach item="id" index="index" collection="list" open="(" separator="," close=")"> #{id} </foreach> 2. findByIds(Integer[]ids) 传入参数为单一数组时的写法 <foreach...
jmeter性能优化之mysql监控sql慢查询语句分析
回家吃月饼的学习交流地
06-09 877
jmeter性能之sql慢查询语句分析
mybatis LambdaQueryWrapper之复杂与或非sql逻辑编写
最新发布
乐点的博客
06-13 190
其中wrapperNew包括queryWrapper1 || queryWrapper2 || queryWrapper3。上述sql逻辑解读为:wrapper集合 && (wrapperNew);
PostgreSQL的视图pg_roles
lee_vincent1的博客
06-10 702
pg_roles是 PostgreSQL 中的一个系统视图,提供了关于数据库角色(用户和组)的信息。PostgreSQL 中的角色用于管理数据库的权限、登录能力以及其他安全相关的特性。通过查询pg_roles视图,数据库管理员可以了解和管理数据库中所有角色的详细信息。pg_roles。
mybatis sql注入的三种方式
09-05
MyBatis是一个优秀的持久层框架,它提供了很多防止SQL注入的机制,但是还是存在某些情况下可能出现SQL注入的问题。下面我将介绍MyBatis中存在的三种SQL注入方式及相应的防范措施。 1. 字符串拼接注入方式: 在拼接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值