ibatis解决$column$类写法,规避SqlInjection风险

最新推荐文章于 2022-09-08 09:00:00 发布
最新推荐文章于 2022-09-08 09:00:00 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: Java基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wolfchou/article/details/38386823
版权

(1)sql语法中的_关键字_.如果sql语句中出现存在用户输入的关键字.
比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$
其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$ .
(2)sql语句中的_元数据_.如果sql语句中存在用户输入的元数据.表名,字段名等等.

比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by $orderByColumn$ .

其中orderByColumn是数据库中的字段. 对这种元数据的请使用:$orderByColumn:METADATA$替换$orderByColumn$.

DavidChou
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过ibatis解决sql注入问题
08-29
iBatis提供了两种方式来解决SQL注入问题:#写法和$写法。其中,#写法是将参数传递给SQL语句时使用预编译方式,将转义交给了数据库,从而避免了SQL注入问题。 例如,以下代码: ```sql String sql = "SELECT * FROM...
Ibatis资料ibatai sql map iBATIS使用$和#的一些理解
05-28
在使用iBATIS(现已被MyBatis取代)进行数据库操作时,我们常常需要传递参数到SQL语句中。在iBATIS中,有两种主要的方式来处理这些参数:使用`$`和`#`。这两种方式在不同的场景下有不同的效果。 首先,让我们来看看...
ibatis中使用$value$引入变量会引入SQLInjection漏洞
蛋疼先生的手札
04-01 331
(1)sql语法中的_关键字_.如果sql语句中出现存在用户输入的关键字.比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$...
iBatis 和 myBatis中 的“$”符号和“#”
VerusBin 的博客
06-19 2438
一、iBatis中的$和# 在iBatis中使用sqlmap查询时引用参数往往会使用 一对$或者#写在参数前后,以此来区别原生sql和参数的区别;那么#和$有什么区别呢?什么时候用#什么时候又用$呢?这里就这点和大家分享下: 简单来说: #可以进行与编译,进行类型匹配,而$不进行数据类型匹配; 例如: select * from table where id = ...
iBATIS的绑定变量实现方式--转载
het9527的专栏
03-23 1636
<br />iBATIS的绑定变量有两种方式,#value#方式和$value$方式<br />1.#value#方式:<br />例如语句SELECT * FROM emp WHERE emp_no = #value#<br />实际执行时,iBATIS会使用prepareStatement方式,执行语句SELECT * FROM emp WHERE emp_no = ?,并将对应的参数值设置为value。这种方式下操作符是写在SQL Map中的,可以避免SQL注入的风险,非常安全。<br />2.$va
iBatis动态传入表名,字段名
xoclcn的专栏
10-08 1665
$和#     public List getProjectCodes(String table, String column, String returnColumn, String value) {     Map map = new HashMap();     map.put("table", table);     map.put("column", column);     map.p
iBatis resultMap报错 nullValue完美解决
热门推荐
一个老码农
03-31 1万+
错误信息:SQLErrorCodesFactory - Database product name cached for DataSource [org.apache.commons.dbcp.BasicDataSource@19c5048]: name is MySQLSQLErrorCodesFactory - SQL error codes for MySQL foundSQLE
ibatis中 $ 于 # 的 区别
03-02
ibatis中 $ 于 # 的 区别 ibatis中 $ 于 # 的 区别
sqlserver Ibatis XML自动生成工具
11-19
SQLServer Ibatis XML自动生成工具是一款实用的开发辅助软件,主要针对Java开发人员,特别是那些在项目中使用Ibatis作为持久层框架的开发者。这款工具能够显著提高开发效率,通过自动化的方式生成Ibatis所需的XML...
iBatis习惯用的16条SQL语句
09-01
当字段名和类属性名一致时,iBatis会自动映射结果到Java对象。 10. **预编译SQL(PreparedStatement)** iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过...
SQL-ORDER BY 多字段排序(升序、降序)
12-15
ORDER BY _column1, _column2; /* _column1升序,_column2升序 */ ORDER BY _column1, _column2 DESC; /* _column1升序,_column2降序 */ ORDER BY _column1 DESC, _column2 ; /* _column1降序,_column2升序 */ ORDER BY _column1 DESC, _column2 DESC; /* _column1降序,_column2降序 */ 您可能感兴趣的文章:SQL Server 排序
ibatis执行like查询时要注意注入漏洞(转别人的)
w375179337的专栏
08-03 812
ibatis执行like查询时要注意注入漏洞<br />看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:<br /> <select id="getSchoolByName" resultMap="result"> select * from tbl_school where school_name like '%$name$%' </select>public List<School> ge
MySQL使用order by column asc排序时,column值存在null,排在最前面
StoNENee的博客
06-18 1253
MySQL使用order by column asc排序时,column值存在null,排在最前面!
[ASP开发][入侵检测]浅谈SQL注入式(SQL injection)攻击与防范
ChneChen的Blog
03-02 2020
(http://www.cnhacker.cn/asp/list.asp?id=2184)我没有系统的学习过asp或者php编程,也没有系统的学习过access、sqlserver、mysql等数据库,所以我不是一个程序员,虽然经常干一些类似程序员的事情。    因为要建立自己的站点,3次改版下来,多少也写了几千行程序,加上对一些论坛、留言板、文章发布系统的测试,也发现了一些问题,现在与大家探
MySQL ORDER BY排序一篇就够了
做一个有思想的技术人
09-08 7692
工作中常常会使用ORDER BY进行排序,了解ORDER BY多种排序方式是非常有必要的。
MySQL完整梳理
愿你有前程可奔赴,亦有青春可回顾
03-05 833
Mysql数据库 数据库的简单原理图 连接到Mysql的指令 使用命令行窗口连接MYSQL数据库[示意图] mysqI-h主机名-P端口-u用户名-p密码 登录前,保证服务启动 数据库三层结构 谓安装Mysql数据库,就是在主机安装一个数据库管理系统(DBMS), 这个管理程序可以管理多个数据库。DBMS(database manage system) 一个数据库中可以创建多个表,以保存数据(信息)。 数据库管理系统(DBMS)、数据库和表的关系如图所示: 数据在数据库中的存储方式 S
ibatis执行like查询时要注意注入漏洞
java.lang.NullPointerException
07-08 324
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:   &lt;select id="getSchoolByName" resultMap="result"&gt; select * from tbl_school where school_name like '%$name$%' ...
iBatis的SQL注入问题
lc893572812的专栏
11-03 1323
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的
SQL语句两个字段或多个字段同时order by 排序
风水道人
12-10 1万+
SQL语句两个字段或多个字段同时order by 排序 sql支持多个字段进行order by排序,各字段之间用逗号”,”隔开。如: SELECT *FROM tablename order by column1,column2,column3 ; 如果不显示指出是升序还是降序,则默认为是升序 (1)ORDER BY column1,column2; 表示:column1和column2都是升序 (2)ORDER BY column1,column2 DESC; 表示:column1 升.
ibatis中${}和$$取值
最新发布
04-29
iBATIS中,${}和$$都是用于取值的,但是它们的使用场景和取值方式有所不同。...需要注意的是,使用${}和$$都存在SQL注入的风险,因此在使用时需要格外小心,尽量避免使用动态拼接SQL语句,以免给系统带来安全隐患。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值