【mybatis】使用非预编译${}时，用字符串过滤方案，手动拦截SQL注入

正半轴

于 2021-03-09 13:13:09 发布

阅读量856

点赞数 2

CC 4.0 BY-SA版权

分类专栏： java 细碎知识点文章标签：字符串 java sql

本文链接：https://blog.youkuaiyun.com/ex_xyz/article/details/114580002

java 细碎知识点专栏收录该内容

22 篇文章

订阅专栏

本文介绍了在MyBatis中使用非预编译${}时，如何通过字符串过滤来防止SQL注入。文章提供了一种通用的过滤方案，并对相关方法进行了修正和补充，确保大小写匹配。文章最后邀请读者讨论更高效的解决方案。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言

面对部分必须使用${}来输入参数的情况，需要手动进行拦截而不能使用预编译的手段。

主要需要拦截的为String格式的字符串。

参考这篇博文：防止ＳＱＬ注入的五种方法

（原文的方法似乎写的有错误，我重新整理了一下，并且添加了大小写匹配。）

我整理了一个方案：

字符串过滤方案

比较通用的一个方法：
这个函数返回值为真时表示出现敏感字符
（||之间的参数可以根据自己程序的需要添加或删除，下文只是举例）


	public static boolean sql_inj(String str){
		//常见可能导致误判的字符组
		String inj_str = "'|and|exec|insert|select|delete|update|"
				+ "count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";
		String inj_stra[] = inj_str.split("\\|");
		//全部转换为小写进行匹配
		String lowStr = str.toLowerCase();
		for (int i=0 ; i < inj_stra.length ; i++ ){
			if (lowStr.indexOf(inj_stra[i]) >= 0){
				System.out.println(inj_stra[i]);
				return true;
			}
		}
		return false;
	}