xss mybatis sql注入漏洞修改小技巧

已于 2024-03-05 11:55:53 修改
阅读量721 收藏 9
点赞数 12
文章标签: mybatis xss sql sql注入
于 2024-03-05 11:54:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hwssz/article/details/136474256
版权
文章讲述了公司在使用MybatisORM框架时遇到的SQL注入问题,主要集中在使用$占位符导致的注入。通过在Java代码中使用foreach和正则替换,作者成功修复了问题,强调了在等保背景下使用#占位符的重要性以防止SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        公司一直使用mybatis作为orm框架,SQL统一管理在xml文件中。最近客户系统上线前进行系统等保检查,反馈有大量的SQL注入漏洞,需要进行修复才能上线。    

        查看发过来的文档,问题SQL集中在几种SQL,ids参数值'aa','bb' name参数值 aa

1、select a.fid,a.fname from a where a.fid in (${ids})
2、select a.fid,a.fname from a where a.fname like '%${name}%'

        mybatis中使用#号占位符会根据参数值类型增加引号,而$占位符则是直接显示原值,所以存在被SQL注入的可能。系统中大量存在这样的写法,如果改传值需要去修改代码的逻辑,工作量太大。如果改xml就能修复这个问题,工作量少很多,第2条比较简单,第1条复杂点,试了多次终于可以了,下面是方案,使用eclipse的正则替换,半小时就把这个问题解决了

1、select a.fid,a.fname from a 
where a.fid in 
<foreach collection="ids.replace(&quot;'&quot;,&quot;&quot;).split(',')" 
index="index" item="item" open="(" separator="," close=")">#{item,jdbcType=VARCHAR}</foreach>
2、select a.fid,a.fname from a where a.fname like concat('%',#{name},'%')

       等保现在是系统上线的基本要求了,所以 工作中mybatis推荐使用#占位符,避免SQL注入,

hwssz
关注
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2222
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
网络安全之 SQL 注入防范
最新发布
威哥说编程
12-08 793
使用预处理语句:通过分离 SQL 语句结构和用户输入,防止恶意输入干扰查询。使用存储过程:将 SQL 逻辑封装在数据库中,避免直接拼接用户输入。输入验证与过滤:对用户输入进行严格的验证和过滤,防止恶意数据进入。最小化数据库权限:确保数据库账户拥有最小的操作权限,避免因权限过大而造成风险。使用 ORM 框架:ORM 自动处理数据库操作,减少手写 SQL 语句的风险。启用 WAF:通过 Web 应用防火墙增加额外的安全防护。错误信息处理:隐藏详细的错误信息,避免泄露系统细节。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
Java技术栈,分享最主流的Java技术
07-07 553
Java技术栈www.javastack.cn关注阅读更多优质文章本文授权转载请注明来自FreeBuf.COM链接:https://www.freebuf.com/vuls/240578...
Mybatis框架下SQL注入漏洞处理
热门推荐
aosica321的专栏
02-23 1万+
来源:http://www.open-open.com/lib/view/open1474963603800.html            http://mp.weixin.qq.com/s?__biz=MjM5OTk2MTMxOQ==&mid=2727827368&idx=1&sn=765d0835f0069b5145523c31e8229850&mpshare=1&scene=1&srci
【Web】基于MybatisSQL注入漏洞利用点学习笔记
uuzeray的博客
02-09 1537
① #{} 是预编译参数,表示使用 PreparedStatement 时,使用 setXXX() 方法设置参数值,会对传入的参数进行类型处理,确保传递的参数类型正确。② ${} 存在 SQL 注入问题,因为 SQL 语句中插入的是传入的参数值,如果参数值中包含 SQL 语句的关键字或特殊字符,可能会导致 SQL 注入攻击。① #{} 可以避免 SQL 注入问题,因为它会对传入的参数进行类型处理,并将参数值转义后再放到 SQL 语句中,保证了 SQL 语句的安全性。在 MyBatis 中,
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1357
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。
Mybatis sql注入
wwhhff11
06-12 797
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
漆黑梦工厂
10-23 3637
使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题。
MyBatis安全加固秘籍:防止SQL注入,保障数据安全
首先概述了MyBatisSQL注入的关系,然后着重介绍了通过安全配置预防SQL注入的方法,包括对动态SQL的重构、MyBatis全局和映射文件的安全性设置。接着,本文转向代码实践,探讨了MyBatis与ORM框架
【Java安全编程护航】:全面防御XSS、CSRF及SQL注入攻击
[【Java安全编程护航】:全面防御XSS、CSRF及SQL注入攻击](https://blog.sucuri.net/wp-content/uploads/2022/12/BlogPost_Feature-Image_1490x700_Input-Validation-Errors-1180x555.png) # 1. Java安全编程概述 #...
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
java-spring-mybatis-26-网络.rar
09-04
本专题深入解析了如何将Spring的依赖注入和事务管理与Mybatis的动态SQL和缓存机制结合起来,以创建高性能和可维护性良好的网络应用。同时,本专题还会讲解如何在网络应用中实施安全措施,包括但不限于使用HTTPS协议...
2400水果小网站查询修改.zip
09-15
5. **安全考虑**:学习防止SQL注入XSS攻击等安全措施。 总之,"2400水果小网站查询修改.zip"提供了一个全面的Java Web开发学习平台,涵盖了从数据库设计到前端展示的完整流程。无论是初次接触Web开发的学生还是想...
mybatisSQL注入漏洞及防护措施
sinat_37179161的博客
04-11 1872
一、SQL注入漏洞基本原理 在常见的web漏洞中,SQL注入漏洞较为常见,危害也较大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透来获取服务器权限,从而进入内网。注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。接下来说下SQL注入漏...
mybatis增删查改基础操作+mybatis日志输入+sql注入+xml配置与动态sql
2202_75352238的博客
03-10 1054
执行之后,就能删除id为2的数据了,但是这种有一个弊端,就是你只能指定一行的删除情况,想删除其他的id 内容,就需要再编写删除方法,或者修改 delete注解中的sql语句内容,那么有没有方法能解决这种冗余的情况 ,我们可以使用占位符 #{}我们在插入的时候是根据一整行的信息进行插入的,这时候我们可以用我们之前建立的实体类 封装 好要插入的数据内容,然后调用mapper接口的方法 给sql语句返回一个封装好的实体类,mybatis会自动识别类中的名称与内容,进行插入操作。${...} 拼接SQL
Mybatis 框架下易产生 SQL 注入漏洞的三种情况
SuZhan0711
09-27 1378
这种场景应当在 Java 层面做映射,设置一个字段/表名数组,仅允许用户传入索引值。这样保证传入的字段或者表名都在白名单里面。需要注意的是在 mybatis-generator 自动生成的 SQL 语句中,order by 使用的也是 $,而 like 和 in 没有问题。这样如果 Java 代码层面没有对用户输入的内容做处理势必会产生 SQL 注入漏洞。在这种情况下使用「#」 程序会报错,新手程序员就把「#」 号改成了「$」
Mybatis结果集拦截器反射取出Map存储的值进行XSS过滤
baidu_41267789的博客
11-04 1051
Interceptor 拦截器 package xxxxx.intercept; import cn.com.thinvent.zfw.util.XssUtil; import org.apache.ibatis.executor.resultset.ResultSetHandler; import org.apache.ibatis.plugin.*; import org.springframework.util.CollectionUtils; import java.lang.reflect
Mybatis中会引起sql注入风险的问题
flytalei的博客
06-12 2521
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
MybatisPlus的LambdaQueryWrapper用法
2301_79693537的博客
08-21 6056
【代码】MybatisPlus的LambdaQueryWrapper用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值