ibatis使用like进行模糊查询的时候,会有注入漏洞

最新推荐文章于 2022-08-04 11:07:03 发布
最新推荐文章于 2022-08-04 11:07:03 发布
阅读量132 收藏
点赞数
分类专栏: Ibatis 文章标签: ibatis sql java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangdonghhm/article/details/84054766
版权

看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:

 

Xml代码   收藏代码
  1. <select id="getSchoolByName" resultMap="result">  
  2.     select  
  3.           *  
  4.     from tbl_school  
  5.     where school_name like '%$name$%'  
  6. </select>  
 
Java代码   收藏代码
  1. public List<School> getSchoolByName(String name) throws DataAccessException {  
  2.     List<School> list = (List<School>)getSqlMapClientTemplate().queryForList("getSchoolByName",name);  
  3.     return list;  
  4. }  

     测试用例:

Java代码   收藏代码
  1. @Test  
  2. public void print(){  
  3.         try{  
  4.             List<School> list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");  
  5.             for(School school : list){  
  6.                 System.out.println(school.getName());  
  7.             }  
  8.         }catch(Exception e){  
  9.             e.printStackTrace();  
  10.         }  
  11.     }  

    用p6spy查看最后生成的sql语句:

 

Sql代码   收藏代码
  1. sql1:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'     
  2.   
  3. sql2:select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'  

     其中:sql1是ibatis放入preparedstatement执行的sql,sql2是jdbc执行的真正sql,在这个例子里二者一样的,因为在map里使用的占位符是$name$,ibatis遇到这样的占位符,就直接拼sql语句了,而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是,但是不能用来搞模糊查询)。

 

    在实际项目中的后果就是:如果在页面上有个输入框,让用户输入学校名字,用户输入 长乐一中%' or '1%' = '1 的字样,那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记,假删除),不想让用户再看到或者某些学校信息当前用户没有权限看到。

 

    在《ibatis in action》里,例举了这个注入漏洞一个更可怕的后果,删表。修改测试用例如下:

Java代码   收藏代码
  1. @Test     
  2. public void print(){  
  3.         try{  
  4.             List<School> list = schoolDao.getSchoolByName("长乐一中';drop table tbl_test;#");  
  5.             for(School school : list){  
  6.                 System.out.println(school.getName());  
  7.             }  
  8.         }catch(Exception e){  
  9.             e.printStackTrace();  
  10.         }  
  11.     }  

    用p6spy查看最后生成的sql语句:

Sql代码   收藏代码
  1. select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'  
  2. select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'   

    在mysql中,#是注释符.复制以下sql代码在phpmyadmin中执行,tbl_test确实被删掉了。但是用ibatis执行这句sql却失败,debug了下ibatis的源代码,发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句,但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行,差不多下面这样:

Java代码   收藏代码
  1. String sql = "select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'"  
  2.   
  3. PreparedStatement ps = conn.prepareStatement(sql);  
  4.   
  5. ps.execute();  

    这样的执行就会报错,也就删除不了tbl_test这张表了。。。奇怪了。。难道《ibatis in action》这书上讲错了?

    以上代码都是在ibatis2.3.4的环境下测试的。没试过以前的版本。。

 

    但是在使用ibatis的时候难道就不能like查询了?或者要在web层或者service层对用户的输入条件作一次过滤么?太麻烦了。还好ibatis提供的另一种占位符#在用PreparedStatement执行查询的时候,是用?作占位符,然后set paramter的。。把map里的sql语句改成这样吧:(参考了网上的sql语句)

Sql代码   收藏代码
  1. mysql: select * from tbl_school where school_name like concat('%',#name#,'%')  
  2.   
  3. oracle: select * from tbl_school where school_name like '%'||#name#||'%'  
  4.   
  5. SQL Server:select * from tbl_school where school_name like '%'+#name#+'%' 
懿之星落45℃
关注
专栏目录
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 267
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
mybatis与SQL注入
9981
12-15 723
SQL注入 1.SQL 注入 首先了解下概念,什么叫SQL 注入SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 给大家举几个常见的SQL注入的例子: 1.比如验证用户登录需要 userna...
ibatis执行like查询时要注意注入漏洞
java.lang.NullPointerException
07-08 354
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,注入漏洞。举例说明如下:   &lt;select id="getSchoolByName" resultMap="result"&gt; select * from tbl_school where school_name like '%$name$%' ...
ibatis存在Bug
qq_30270545的博客
05-16 389
使用isEqual 标签需要注意一下 <isEqual prepend="" compareProperty="moduleFlag" compareValue="0"> AND xxx>0 </isEqual> 查询时报错 注:查询的map里已经存放了moduleFlag和对应的值 com.ibatis.common....
关于Ibatis 的自动防止SQL 注入
yangqillohe的专栏
04-30 6047
假设用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的。SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5;  delete  from  orders 那么原来的SQL语句将变为,select * from product where id=5; delete from orders
ibatis执行like查询时要注意注入漏洞(转别人的)
w375179337的专栏
08-03 826
ibatis执行like查询时要注意注入漏洞<br />看《ibatis in action》,里面提到了使用like进行模糊查询的时候,注入漏洞。举例说明如下:<br /> <select id="getSchoolByName" resultMap="result"> select * from tbl_school where school_name like '%$name$%' </select>public List<School> ge
ibatis使用$value$引入变量引入SQLInjection漏洞
蛋疼先生的手札
04-01 345
(1)sql语法中的_关键字_.如果sql语句中出现存在用户输入的关键字.比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$...
mysql中like语句注入_like查询中的SQL注入
weixin_39643865的博客
01-19 4088
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...
java入职学习一之编码规范
Yzq12312的博客
12-02 1461
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
Java 高级工程师面试题总结-参考答案(已拿Offer)
热门推荐
m0_68850571的博客
04-22 1万+
一、面试题基础总结 1、 JVM 结构原理、GC 工作机制详解 答:具体参照:JVM 结构、GC 工作机制详解 ,说到 GC,记住两点:1、GC 是负责回收所有无任何引用对象的内存空间。 注意:垃圾回收回收的是无任何引用的对象占据的内存空间而不是对象本身,2、GC 回收机制的两种算法,a、引用计数法 b、可达性分析算法( 这里的可达性,大家可以看基础 2 Java 对象的什么周期),至于更详细的 GC 算法介绍,大家可以参考:Java GC 机制算法 2、Java 对象的生命周期 答:创建阶段 、...
ibatis中的安全问题
weixin_34050519的博客
07-04 116
http://blog.csdn.net/yangqillohe/article/details/4139265
MyBatis 远程代码执行漏洞CVE-2020-26945
aq_money的博客
06-21 4362
mybatis缓存 报错 MyBatis组件介绍 MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code,并且改名为MyBatis。MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Ord
iBatis防止SQL注入
岁寒松柏
10-25 786
为了防止SQL注入iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis模糊查询传值。    mysql: select * from stu where name like concat('%',#name #,'%')    oracle: select * from stu where name like '
mysql中likesql注入吗_like查询中的SQL注入
weixin_30725113的博客
01-19 2008
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,注入漏洞。举例说明如下:Xml代码select*from tbl_schoolwhere school_name like '%$name$%'Java代码public List getSchoolByName(String name) throws DataAccessException {List list ...
ibatis like查询防sql注入
caoliangbo的博客
09-07 222
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。 下面是三个不同数据库的ibatis模糊查询传值。 mysql: select * from stu where name like concat('%',#name#,'%')  oracle: select * from stu where name like '%'||#name#||'%' SQL Server:...
ibatis使用like时如何避过sql注入
zqs120的专栏
03-19 126
普通的拼写方式为: and remark like '%'+#{remark}+'%' 如果遇到变量名刚好是数据库的关键字,拼写方式如下所示:
使用拦截器Filter修补输入框的xss漏洞
zyt_java的博客
02-23 1738
package cmcc.jx.ict.xsgj.filter.xss; import java.io.IOException; import java.util.Iterator; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servle
ibatis中写SQL语句时使用in遇到的问题描述
xiaoyong8823的专栏
03-15 861
UPDATE CHUNQIU3.order_head t SET t.status = #flag# WHERE t.id in (#orderIds#) 传递的id为2488877,2488878,2488879。但是数据却没有任何的修改。 因为iBATIS默认把“#”中间的变量作为字符串来处理。这样,就出现这样的SQL UPDATE CHUNQIU3.order_head t
SQL注入
qq_31088019的博客
08-04 1868
sql注入
使用Ibatis进行连接查询实战教程
这篇文章主要探讨如何使用Ibatis进行连接查询,即通常所说的JOIN操作。 Ibatis并不像Hibernate那样自动生成SQL语句,而是依赖于开发人员手动编写SQL,这提供了更高的灵活性,但也要求开发者具备较强的SQL知识。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值