关于Ibatis 的自动防止SQL 注入

最新推荐文章于 2021-02-23 15:04:02 发布
最新推荐文章于 2021-02-23 15:04:02 发布
阅读量612 收藏
点赞数
分类专栏: iBatis

转载于:http://blog.csdn.net/yangqillohe/article/details/4139265

 

假设用户执行

[java] view plain copy print ?
  1. select * from product where id = 5 

这条语句。其中5是有用户输入的。

SQL注入的含义就是,一些捣蛋用户输入的不是5,而是

5;  delete  from  orders

那么原来的SQL语句将会变为,

[c-sharp] view plain copy print ?
  1. select * from product where id=5;  delete  from  orders 
.

在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。

不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。

上述语句会被编译为,

[java] view plain copy print ?
  1. select * from product where id=? 

从而有效防止SQL注入。

不过当你使用$占位符时就要注意了。

例如:动态的选择列和表

[java] view plain copy print ?
  1. SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value# 

这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。

参考资料:

【iBATIS in Action】 3.5.2 SQL injection

zgmzyr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iBatis解决自动防止sql注入
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
iBatis防止SQL注入
岁寒松柏
10-25 774
为了防止SQL注入iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。    mysql: select * from stu where name like concat('%',#name #,'%')    oracle: select * from stu where name like '
使用IBATIS防止sql注入
浮生若梦
08-26 424
           对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。         对于like语句,难免要使用$写法,         1. 对于Oracle可以通过'%'||'...
java ibatis 动态注入_通过ibatis解决sql注入问题
weixin_42138525的博客
02-23 281
于ibaits参数引用可以使用#和两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用写法,则相当于拼接字符串,会出现注入问题。例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用写法就会有问题。对于语句,难免要使用写法就会有问题。对于like语句,难免要使用写法...
iBatis解决sql注入问题的方法
czw698的专栏
09-28 1130
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的            name like #name#      但是它跟            name = #name#    没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:         name like '%$name$%' 但这时会导致sql注入
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
iBatis文档
11-08
此外,iBatis支持预编译的PreparedStatement,以防止SQL注入攻击,并提供了强大的结果集映射功能,能够自动将查询结果转换为Java对象,甚至处理一对多、多对一等复杂关系。同时,它的事务控制灵活,既支持手动控制,...
ibatis 入门
03-30
#{ } 用于预编译的参数,能防止 SQL 注入;${} 则是简单的字符串替换,适用于非预编译场景。 7. **结果映射**:iBATIS 可以自动将查询结果映射到 Java 对象,无需手动处理。这包括自动类型转换、一对一、一对多等...
ibatis官方中文文档
03-13
`#{}` 语法用于参数绑定,它可以防止SQL注入。在SQL语句中,#{paramName}会被替换为预编译语句的占位符,参数值则在执行时传入。 5. **结果映射**: 结果映射定义了如何将查询结果映射到Java对象。`<resultMap>`...
模糊查询 防止SQL注入
maihoney的专栏
06-22 876
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
使用kettle将csv格式文件输入,sql表输出
热门推荐
刘涛的博客
01-12 1万+
1.    在kettle中新建一个转换,再保存,再点击新建一个DB连接, 2.    Csv文件内容 3.    按住shift连接两个图标,只能连接出错的红线。 4.    点击连线上的红叉(不是太容易点,多试试),出现下面的窗口,将启用错误处理后的框去掉,点击ok 5.    连线正常 6.      再编辑表输出,浏览目
ibatis模糊查询的like '%$name$%'的sql注入避免
maidou_2011的专栏
09-27 9497
ibatis模糊查询的like '%$name$%'的sql注入避免。 在用ibatis进行模糊查询的时候很多同学习惯用like '%$name$%'的方式,其实这种方式会造成sql注入ibatis对于$符号的处理是默认不加’‘号的,所以如果传入的参数是: 1'或者是1231%' or 1%' = '1这些形式就回造成注入危险。 解决是避免用like '%$name$%',可以进行字符的拼
关于 UML 模型(Visio的说明)
无幻
07-08 1万+
关于 UML 模型(Visio的说明)Microsoft Office Visio“UML 模型图”模板为创建复杂软件系统的面向对象的模型 (模型:建模系统的一种抽象表示,它从特定的视角并在某一抽象级别上指定建模系统。)提供全面的支持。
ibatisSQL注入,证实了我此前的想法
oswin_jiang的专栏
06-04 4526
在项目中,运用Ibatis中Like写法,没有研究下,结果SQL语句存在SQL注入漏洞,整理下,下次谨记啊!sql语句:Sql代码 select *          from (select 1 from poll          dynamic prepend=" where ">    
ibatis[mybatis]的安全加固
诗剑书生的专栏
07-14 4429
对于mapping框架,其实预编译语句已经解决了绝大多数的sql注入。但是对mapping如果支持动态语句,就和程序拚接一样存在sql注入的可能。所以在ibatis[mybatis]中,安全加固主要针对 $ 符号拚接的动态语句select * from userinfo where name = {#name} oder by $orderColumn$  $sortMode$这是一种非常典型的场
ibatisSQL注入
cavalier的学习之路
09-29 958
  SQL注入示范 Sql注入例一     TITLE like '%$title$%' title传入a';drop table account;-- --告诉数据库忽略drop table 之后的字符,即数据库不会报错。 TITLE like '%a';drop table account;--%' Sql注入例二   select * from tbl_schoo...
iBATIS中替换“IN”的方法
gaoqian19820731的专栏
01-06 2635
IN的危害由于in不支持变量绑定。所以,in语句必须使用“$变量$”来描述,为sql注入埋下了隐患。同样,sql语句解析和执行计划不能复用。由于执行计划不能复用,当发生很多次IN不同内容调用的时候,会把以前的经常复用的sql语句的执行计划cache给挤出去。如何消灭IN把in变成参数。固定参数的长度。步骤创建函数 SplitInt.sql和SplitStr.sql  效果如下: <br /> <br />select * from SplitInt(1,2,3,4,5,6);<br /><br />sel
springboot+mybatis如何防止sql注入
最新发布
05-26
在 Spring Boot + Mybatis 中,防止 SQL 注入的方法如下: 1. 使用预编译语句 在 Mybatis 中,可以使用 #{} 作为占位符,Mybatis 会自动将其转换为预编译语句中的 ?,这样能够防止 SQL 注入攻击。 例如: ``` @...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值