关于Mybatis的一个小问题

最新推荐文章于 2024-07-21 22:27:18 发布
最新推荐文章于 2024-07-21 22:27:18 发布
阅读量1.1k 收藏 10
点赞数 31
文章标签: mybatis java 渗透测试 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65550121/article/details/134918732
版权

之前在挖一些项目的时候,老是遇到参数置空导致信息泄露的问题。

为了一探究竟,我又去重新补了一下Mybatis 也算是水一篇文章了。

Mybatis中XML中的SQL规范可能产生的信息泄露
如果在Mybatis中的XML文件中如果是这么写的话。


<select id="queryBlogIF" parameterType="map" resultType="blog">
    select * from blog where 1=1
    <if test="title !=null">
        and title = #{title}
    </if>
    <if test="author !=null">
        and author = #{author}
    </if>
</select>

那么可能存在查询出其他用户的信息。

因为如果將title或者author参数置空的话那么他就会执行前面查询所有信息的操作。

但是在一般真实项目中或者一些政企中他是不会写where 1=1的。

他们会加上where标签 表示后面加上where。

例如:

<select id="queryBlogIF" parameterType="map" resultType="blog">
    select * from blog
    <where>
        <if test="title !=null">
            title = #{title}
        </if>
        <if test="author !=null">
           and author = #{author}
        </if>
    </where>
</select>

这样的话如果我们不给title或者author参数的话,他就会直接执行select * from blog 将所有信息查询出来。

这就是为什么我们有时候去挖SRC或者一些其他网站的时候将参数置空他会查询出来所有的信息。

那么比如说我们拥有一个普通用户的话,在查看信息这个功能点击的时候,会查询SQL,我们将相关的参数置空是不是就可以查询出来其他的用户。

标题为什么我们去挖SRC的时候置空参数之后返回为 [] 空 ?

那么假设如果XML中的SQL是这么写的话。

<select id="queryBlogChoose" parameterType="map" resultType="blog">
    select * from blog
    <where>
        <choose>
            <when test="title !=null">
                title = #{title};
            </when>
            <when test="author !=null">
               and title = #{author}
            </when>
            <otherwise>
                and views = #{views}
            </otherwise>
        </choose>
    </where>
</select>

这里的进行判断如果没有传递title author 的话,那么必须传递一个必要的参数views,如果不传递这个参数那么就会查询出来为空。

这里的blog的表是这样的。


+--------------------------------------+-----------------------+-----------+---------------------+-------+
| id                                   | title                 | author    | create_time         | views |
+--------------------------------------+-----------------------+-----------+---------------------+-------+
| fced32e7-d0fc-4d89-8960-d4448e6aabc9 | Mybatis如此简单       | 南陈说    | 2023-05-18 15:49:36 |  9999 |
| 4a5b0d3c-8809-41bd-ad2b-b38da11a91cb | Spring如此简单        | 南陈说    | 2023-05-18 15:49:36 |  9999 |
| 6324972f-7cad-472d-be50-41760bec4dee | Java如此简单          | 南陈说    | 2023-05-18 15:49:36 |  9999 |
| 79bf219d-cee7-4361-99da-d68bc0c1fb9b | 微服务如此简单        | 南陈说    | 2023-05-18 15:49:36 |  9999 |
+--------------------------------------+-----------------------+-----------+---------------------+-------+

所以说必须传递views参数,所以有时候我们可以多fuzz一些参数可以一个一个参数fuzz。

Mybatis Like注入
有时候需要使用like进行模糊查询,但是在拼接 %%的时候会产生SQL注入。比如:


<select id="getUserByName"  resultMap="result">
   SELECT  * FROM t_user  WHERE  name like "%"${name}"%"
</select>

使用$符号他的底层是不会进行预编译的。所以会产生SQL注入。

使用CONCAT函数拼接避免SQL注入。


<select id="getUserByName"  resultMap="result">
   SELECT  * FROM t_user  WHERE  name LIKE CONCAT('%',#{name},'%')
</select>

也可以使用字符串进行拼接:


<select id="getUserByName"  resultMap="result">
   SELECT  * FROM t_user  WHERE  name like "%"#{name}"%"
</select

Mybatis in注入
正确使用的方式,而不是将#替换为$。


id in
<foreach collection="ids" item="item" open="("separatosr="," close=")">
#{ids}
</foreach>

Mybatis orderby注入

order by #{orderBy} #{orderType}

0x30sec
关注
  • 31
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
date比较大小 mybatis_mybatis 日期比较
weixin_32401411的博客
12-24 9871
entity@JSONField(name="prj_date",ordinal=13,format="yyyy-MM-dd")private Date prjDate;mapper.xml and (start_date <= #{prjDate} and #{prjDate}<=end_date)注意点:1、if中不要写 prjDate != '',否则报:invalid comp...
关于Mybatis的几件小事(一)
jack199504的博客
06-03 233
一、Mybatis简介 1.Mybatis简介 MyBatis是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。 MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。 MyBatis可以使用简单的XML或注解用于配置和冤死映射,将接口和Java的POJO(Plain Old Java Objects,普通的java对象)映射成数据库中的记录。 2.为什么使用MyB...
MyBatisMyBatis Plus并存及问题解决
qq_37362723的博客
01-28 3718
MyBatisMyBatis Plus并存
mybatis的resultType接收一个内部类
不积跬步无以至千里,不积小流无以成江河
06-11 6498
外部类: RechargeListVo 内部类: Summary @Data @Accessors(chain = true) public class RechargeListVo implements Serializable { /** *充值时间 */ private String rechargeTime; @Data ...
一个Mybatis问题记录
weixin_41004986的博客
12-15 99
一个Mybatis问题记录 工作中基本上都会使用Mybatis。有一次为了达到控制权限的效果,又为了最少的修改现有的代码,使用了自定义的mybatis的插件,在操作数据的时候做一次查询,判断是否有权限操作。这种权限控制是很暴力且有很多漏洞的。 问题1 在一次操作中,当参数只有一个且参数类型为Long型时,默认这个参数是表A的主键pk,在Mybatis插件中根据这个主键去查询数据,根据查询结果判断当...
关于MyBatis找不到映射文件的问题
09-06
MyBatis一个流行的Java持久层框架,提供了多种方式来映射数据库表到Java对象。然而,在使用MyBatis时,可能会遇到找不到映射文件的问题,本文将详细介绍该问题的解决方法。 一、MyBatis映射文件的配置 在MyBatis...
mybatis一个笔记
05-11
mybatis笔记
IDEA的MyBatis插件两个
03-07
1. 易用的Mapper管理:MybatisX提供了一个直观的Mapper图形界面,开发者可以在这里查看和管理所有的Mapper接口和XML配置,方便查找和定位问题。 2. 实时日志查看:在开发过程中,可以通过插件直接查看MyBatis执行的...
mybatis小练习
09-01
MyBatis一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。在本练习中,我们将深入探讨这些文件所涵盖的MyBatis核心知识点。 1. **mybatis2_3_sql**: 这个文件可能包含了SQL查询语句。在MyBatis...
Mybatis Update操作返回值问题
08-29
在这种情况下,如果一个更新操作返回的不是受影响的行数,而是匹配的行数,可能会导致误解。例如,如果第一次更新操作匹配了两条记录,但实际只有一条记录被修改,后续的重复更新可能会因为版本号不符而失败,此时...
Java-Lambda
最新发布
lizhiwei21的博客
07-21 178
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Java内存模型
weixin_44267758的博客
07-19 681
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 497
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1177
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1154
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 1068
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 519
递归算法通过函数调用自身解决问题,每次递归调用都处理问题一个子部分,直到达到基准条件,从而构建最终解。
Java并发编程之美 | 第三篇】Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
踢桃的成长之路
07-21 551
Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
每 日练 习
m0_67187271的博客
07-19 1026
正确答案:C 解析:是正确的,这是最基本的类定义形式,没有继承任何类,也没有实现任何接口。也是正确的,这里定义了一个名为x的类,它继承了名为y的类。同样是正确的,这里定义了一个公共类x,它继承了Applet类,这在Java中是合法的,尤其是在创建GUI应用程序时常见。是不正确的,因为在Java中,我们不能使用static关键字来修饰一个类的定义。static关键字只能用于类的方法、变量或者是内部类(即嵌套类),但不能用于顶级类(非嵌套类)。所以,这个选项是错误的。因此,正确答案是C。
写一段关于mybatis的技术介绍
04-19
MyBatis是一款非常流行的Java ORM框架,它提供了一种将SQL语句和Java对象映射起来的方式。...总之,MyBatis一个功能强大的Java ORM框架,它使得Java开发者可以更加方便和灵活地访问和操作数据库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值