mybatis like %% 模糊查询防sql 注入

最新推荐文章于 2025-05-19 23:00:41 发布
最新推荐文章于 2025-05-19 23:00:41 发布
阅读量1.1w 收藏 4
点赞数
分类专栏: myibatis3 文章标签: sql ibatis string jdk java
本文深入探讨了在使用Ibatis进行SQL查询时,遇到包含特殊字符如%和_的参数如何进行转译,以确保查询语句正确执行。通过提供Java端的代码示例,详细解释了如何对关键参数进行正则表达式的替换,以适应SQL语句的语法要求,特别关注于不同JDK版本下的兼容性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

所以解决的思路是:sql中应该跟正常的替换方式相同,ibatis并没有提供特殊写法,应该在传入的参数上下功夫。

也就意味着需要自己来做转译。

SQL文:

select * from A where A.name like #{key}


java端对Key值进行转译:

    public static String transfer(String keyword) {
        if(keyword.contains("%") || keyword.contains("_")){ 
            keyword = keyword.replaceAll("\\\\", "\\\\\\\\") 
                             .replaceAll("\\%", "\\\\%") 
                             .replaceAll("\\_", "\\\\_");
        }
        return keyword;
    }


然后再转译后的key上,按照逻辑添加“%”或者“_”,再设置到statement中即可。

例如:前方一致检索

key = transfer(key) + "%";
注意:上面的转译方法适用于jdk1.6,之前的可能需要将第一个.replaceAll("\\\\", "\\\\\\\\")

改成:.replaceAll("\\", "\\\\") 即可。
代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 597
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
MyBaits系列(三)MyBatis的模糊查询和SQL注入
大鱼的博客
04-28 1176
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
mybatis中的like查询,$取值时sql注入和通配符注入,#取值时通配符注入
luoyong at csdn
12-11 9134
mybatis中用like查询时,如果用户输入的值有"_"和“%”,则会出现这种情况: 用户本来只是想查询“abcd_”,查询结果中却有"abcd_"、"abcde"、"abcde"等等,用户要查询"30%"(注:百分之三十)时也会出现问题。 测试后发现不管你是用#{xxxx }还是用${xxxx }取值都会存在这些问题,而且用${xxxx }取值时还存在sql注入的问题。 为了解决这些问
springboot+mybatismybatisplus在进行%name%的前后模糊查询时如何放sql注入
最新发布
qq_50372901的博客
05-19 1113
直接在 MyBatisSQL 映射文件中使用是不可行的,因为它不能正确地将百分号作为通配符处理。正确的做法是利用 SQL 函数如CONCAT或者在 Java 端预先拼接好带有百分号的字符串,再通过#{}占位符安全地传递给 SQL 查询。这样既能达到前后模糊匹配的效果,又能有效SQL 注入攻击。
mybatis使用like模糊查询sql注入写法
HelloWorld
04-11 864
在使用like模糊查询时,一般写法是:select * from user where username like "%三%"。也可以写为:select * from user where username like "%"'三'"%"。根据这种写法使用#{}可以写为: select * from user where username like "%"#{valu...
mybatis的模糊查询likesql注入问题
dhklsl的专栏
07-19 2501
mybatis模块查询sql注入问题
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1840
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1294
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
详解Mybatis框架SQL注入指南
08-18
1. 模糊查询:如`SELECT * FROM NEWS WHERE title LIKE '%#{title}%'`,使用`#`会报错,但直接替换为`$`会导致注入。正确的做法是使用`CONCAT`函数,如`SELECT * FROM NEWS WHERE title LIKE CONCAT('%', #{title}, ...
Mybatis模糊查询和动态sql语句的用法
08-26
这种方法可以实现更加灵活的模糊查询,並且可以SQL注入。 三、多条件查询 在实际应用中,我们经常需要实现多条件查询,例如根据员工姓名和性别来查询员工信息。在Mybatis中,我们可以使用if标签和where标签来...
利用MyBatis进行不同条件的like模糊查询的方法
08-27
MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
mybatis LIKE 查询时 $、# sql注入问题分析
heshiyuan1406146854的博客
04-11 873
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
mybatis避免sqllike注入
05-31 333
<select id="NotInByEvalQuestion" resultType="com.rm.eval.entity.EvalQnQuestion"> SELECT * FROM eval_question WHERE 1=1 and validate_flag='Y' <if test="title!=''and ...
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2710
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是不胜
m0_64867092的博客
12-14 651
Select * from news where id in (#{ids}) 正确用法为使用foreach,而不是将#替换为$ id in<foreach collection=“ids” item=“item” open="(“separatosr=”," close=")">#{ids}  3、order by 之后 这种场景应当在Java层面做映射,设置一个字
利用mybatis框架时,常见的三种sql注入方式
geejkse_seff的博客
08-31 2638
Sql注入是web应用中最常见的一种漏洞,其实质就是攻击者可以通过拼接sql来对数据库进行攻击。在java项目中,随着预编译和ORM框架(如Mybatis)的使用,这样的问题也会随之减少,但是,在mybatis使用不当的情况下,也会造成sql注入。...
程序员都要懂的SQL注入Mybatis框架SQL注入
风水道人
12-06 1176
SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。以上就是mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。
mybatis模糊查询特殊符号%(百分号)和_(下划线)不转义
qq_28433521的博客
06-02 4339
在使用mybatis的模糊查询时,有两个特殊符号需要注意: %(百分号):相当于任意多个字符; _(下划线):相当于任意的单个字符; 处理方法: 1: (查询条件参数,比如"xx%_x")param.replaceAll("%", "/%").replaceAll("-", "/-") 2-1: select * from table where column like concat('%',#{param},'%') escape '/'; 2-2: vc.title like conc
MybatisSQL注入攻击的3种方式
sainazuoan1的博客
10-21 504
MybatisSQL注入攻击的3种方式
Mybatis框架SQL注入策略详解
本文将深入探讨Mybatis框架中的SQL注入问题,并提供相应的护策略。 一、MybatisSQL注入机制 Mybatis提供了两种参数绑定方式:#和$。使用#时,Mybatis会进行预编译处理(类似PreparedStatement),可以有效止...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值