Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防

最新推荐文章于 2024-06-01 11:30:00 发布
最新推荐文章于 2024-06-01 11:30:00 发布
阅读量523 收藏 1
点赞数 1
文章标签: java mybatis spring mysql hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48612224/article/details/109191989
版权

前言

SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。

新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。

一、Mybatis的SQL注入

Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。

Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。比如:

<select id="queryAll"  resultMap="resultMap">  SELECT * FROM NEWS WHERE ID = #{id}</select>

使用预编译,$使用拼接SQL。

Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种:

1、模糊查询

Select * from news where title like ‘%#{title}%’

在这种情况下使用#程序会报错,新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。

正确写法:

select * from news where tile like concat(‘%’,#{title}, ‘%’)

2、in 之后的多个参数

in之后多个i

最低0.47元/天 解锁文章
互联网架构小马
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis】中使用IN语句查询sql的方法
JavaWebEngineer的博客
05-26 2021
一、语法简介 在MySQL中 使用SQL IN 操作符 语法: SELECT column_name(s) FROM table_name WHERE column_name IN (value1,value2,...) 但是如果在MyBatis中的使用in的话,像如下去做的话,肯定会报错: Map<String, Object> selectByUserId(@Param("useType") String useType) <select id="selectByUserI
JAVA代码审计篇-SQL注入
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-01 723
1、SQL注入攻击是黑客利用SQL注入漏洞对数据库进行攻击的常用手段之一。攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,网站应用程序未经过滤,便将恶意SQL语句带入数据库执行。2、SQL注入漏洞可能会造成服务器的数据库信息泄露、数据被窃取、网页被篡改,甚至可能会造成网站被挂马、服务器被远程控制、被安装后门等。3、SQL注入的分类较多,一般可笼统地分为数字型注入与字符串型注入两类;当然,也可以更加详细地分为联合查找型注入、报错注入、时间盲注、布尔盲注等。
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
最新发布
qq_44005305的博客
06-01 634
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Mybatis中的in方法遇到的坑
rzx123456rzx的博客
09-22 1625
Mybatis中使用 in(#{XXX}) 查询出的数据不完整
Mybatis使用IN()查询出现的错误解决记录
派大夏的博客
10-20 955
mybatis IN查询出问题,这写法Mybatis会自动在需要替换的地方加上“”,假如我们这里的ids是1,2,3,那么使用#{}最后生成的代码就是。使用IN进行多个Id查询时,在数据库管理工具中测试时没问题的,后来放到项目里面,发现查的总是不对,项目中使用的是。查询很多博客说通过映射文件里for标签进行解决,其实不用这么麻烦,问题根本是占位符的书写问题,之前一直用的是。,占位符即可解决,这个占位符不会添加任何东西。注解,需要替换的部分是。
SQL 注入漏洞详解
m0_60571990的博客
12-19 3710
SQL 注入漏洞详解
详解Mybatis框架SQL注入指南
08-18
SQL注入是一常见的Web应用程序安全漏洞攻击者可以通过输入恶意的SQL代码来操控数据库。在Mybatis中,如果不正确地处理用户输入,就可能导致SQL注入Mybatis提供了两参数符号来防止SQL注入:`#` 和 `$`。`#`...
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
(1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT ...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解。 为什么 SQL 注入攻击存在 SQL 注入攻击存在的原因是因为开发人员没有遵循编程规范。例如,...
Security_By_Default:MyBatis框架SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
Mybatis防止sql注入的实例
08-30
Mybatis框架提供了一预编译功能,在sql执行前,会先将sql语句发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。这样可以避免sql注入的问题。 Mybatis中的sql语句是一个具有“输入+...
MyBatisPlus-inSql和in的区别解析
vampire_Violet的博客
04-02 1731
区别概述 inSql:同等于${},存在SQL注入隐患 in:同等于#{},不存在SQL注入隐患
Mybatis使用IN语句查询
热门推荐
fendo
03-23 36万+
一、简介在SQL语法中如果我们想使用in的话直接可以像如下一样使用:select * from HealthCoupon where useType in ( '4' , '3' )但是如果在MyBatis中的使用in的话,像如下去做的话,肯定会报错: Map&lt;String, Object&gt; selectByUserId(@Param("useType") String useT...
mybatissql语句in字段的使用
qq_41340666的博客
07-10 4021
mybatis的xml命名空间中,出现用"in"关键字查询时,会出现查不出来值,为空,解决办法: 将"in"后面括号里的变量的"#"替换成"$",例如:select * from user where id in(${xxx})原因如下: MyBatis看到 #{}会认为你在给sql中的变量赋值,就像JDBC编程中给问号赋值一样(自动在前后加单引号)也就是说,他把你传入的字符串并没有当做多个...
Mybatis 中 in 语法 的# 与 $区别
u010314099的博客
05-19 1185
今天写map时,(伪代码):update xxx t set t.a='1' where id in (#{ids}); 当ids传入为string 1,2,3 时,得出效果只是更新了id=1的数据,原来#{xxx}是一个字符串,mybatis只会当他是一个值,如果你想达到字面上的效果: 1 用${ids} 把ids当成字符串传进来 2 update xxx t set t.a='1' wh...
记一次mybatis查询无结果的问题
Montaro2017的博客
03-28 2055
代码的时候遇到一个奇怪的问题,查询数据的时候返回空。 import java.util.List; @Mapper public interface UserMapper { List<User> selectUserByName(String name); } <select id="selectUserByName" resultType="User"&gt...
mybatis中想直接使用逗号拼接好的字符串放入in中,不要使用#{},而要使用${}
qq_30505421的博客
01-11 2129
使用in()在mysql可以查询出来结果,在mybatis中查询不出结果
Mybatis @Select注解,使用in传入ids数组作为参数
qq_2300688967的博客
07-24 4万+
在使用ids集合作为参数时,首先想应该是如下做法: @Select("select id, name, user_id from label where id in &lt;foreach collection=\"ids\" index = \"index\" item = \"id\" open= \"(\" separator=\",\" close=\")\&quot
mybatis映射文件中三设置id的方式
yuer629
06-04 5706
<!-- 1.自己指定主键 --> <insert id="insertUser" parameterType="com.yuer.bean.Users"> insert into users values(#{userId},#{userName},#{userPwd},#{userAge},#{userSex},#{addr}) </insert> <...
mybatis sql注入的三方式
09-05
MyBatis是一个优秀的持久层框架,它提供了很多防止SQL注入的机制,但是还是存在某些情况下可能出现SQL注入的问题。下面我将介绍MyBatis中存在的三SQL注入方式及相应的防范措施。 1. 字符串拼接注入方式: 在拼接SQL语句时,如果直接使用字符串拼接的方式,可能导致用户的输入被误认为是SQL语句的一部分。为了避免这个问题,我们应该使用参数化查询或者使用预编译语句。参数化查询使用占位符来代替用户输入,然后将用户输入作为参数传递给SQL语句。而预编译语句则是将SQL语句预先编译好,再根据用户的输入来填充相关信息。 2. SQL关键字注入方式攻击者可能通过输入SQL关键字来改变原本的SQL语句逻辑,例如输入WHERE 1=1来绕过原本的条件过滤。为了防止这情况,我们可以使用白名单机制,对用户输入进行严格检查,只允许合法的输入。 3. SQL注释注入方式攻击者可能通过注释的方式绕过字符串过滤,例如输入' or '1'='1来改变SQL语句的逻辑。为了防范这注入方式,我们可以使用过滤器来对用户输入进行过滤,将可能存在的注释进行处理。 综上所述,虽然MyBatis有一些内置的机制来防止SQL注入,但是我们仍然需要在代码中加入一些额外的防范措施,以增加系统的安全性。同时,我们也应该对用户的输入进行充分的验证和过滤,以减少潜在的安全风险

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值