iBatis的SQL注入问题

最新推荐文章于 2025-06-11 21:40:11 发布
转载 最新推荐文章于 2025-06-11 21:40:11 发布 · 1.4k 阅读 · 0
文章标签:

#sql

本文深入探讨了SQL注入的危害及防范策略,包括正确使用变量、优化查询语句、使用预编译语句等方法,并提供了针对不同数据库的实现细节。同时,介绍了如何通过条件判断和方法封装来提高代码安全性和效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。

1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。

2、  错误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。

3、  错误的使用$一般都出现在 like后面,可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# , $%替换为#||’%。

 综上:

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

 3. MSSQL中通过'%'+#param#+'% 。 


示例:

1.

<isNotEmpty prepend="and" property="name">
NAME like '%'||#name#||'%'
</isNotEmpty>


如果要考虑name走索引的情况那么上面这种语句是不会走索引的,除非写成: 
#name#||'%' 


走索引的情况只限定在'XX%'的like操作中,而'%XX'和'%XX%'无法使用索引


2.

还可以把判断null和'%'封装到一个方法里

<sql id="condition_where">
<isNotEmpty property="companyName" prepend=" and ">
t1.company_name like #companyName#
        </isNotEmpty>
</sql>

if (!StringUtil.isEmpty(this.companyName)) {
table.setCompanyName("%" + this.companyName + "%");
}


3.

Oracle: 
<select id="showOneStudentByName" parameterClass="String" resultMap="studentORM"﹥    
select * from t_stu where s_name like '%'||#name#||'%'     
﹤/select﹥  

Mysql: 
SELECT *   FROM user     
WHERE username like CONCAT('%', #username#, '%')   

SQLServer :
SELECT *   FROM user   WHERE username like '%' + #username# +  '%'    
注意:SQL语句不要写成select * from t_stu where s_name like '%$name$%',这样极易受到注入攻击。



数据库字符串连接符:

Oracle: ||  或  concat()

SQLServer:  +

Mysql:  concat()

db2:  ||  或  concat()

代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 614
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
ibatis解决sql注入问题
小白编程
05-28 355
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
ibatissql注入
各研发管理
04-03 214
今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对or...
ibatisSQL注入
cavalier的学习之路
09-29 1113
  SQL注入示范 Sql注入例一     TITLE like '%$title$%' title传入a';drop table account;-- --告诉数据库忽略drop table 之后的字符,即数据库不会报错。 TITLE like '%a';drop table account;--%' Sql注入例二   select * from tbl_schoo...
iBatisSQL注入
weixin_30349597的博客
07-24 139
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但...
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
SQL 注入iBatis与修复
最新发布
zqmattack的博客
06-11 1185
指令时需要动态加入约束条件,可以通过创建一份合法字符串列表,使其对。类中可以对输入字符串进行转义,如果使用正确的话,可以防止。命令,达到入侵数据库乃至操作系统的目的。指令,会使攻击者篡改指令的含义或者执行任意的。例如:下面代码片段中,动态构造并执行了一个。中的任意字符串,它们可以使用下面的关于。查询的上下文,使程序员原本要作为数据解。注入攻击的根本原因在于攻击者可以改变。析的数值,被篡改为命令了。四川久远银海软件股份有限公司。四川久远银海软件股份有限公司。指令中的不同元素,来避免。
ibatis动态注入
11-12
iBATIS,作为一款优秀的持久层框架,提供了强大的动态SQL功能,解决了直接使用JDBC时编写复杂动态SQL的难题。本文将深入探讨iBATIS动态注入的相关知识点。 iBATIS动态SQL主要通过XML映射文件中的特定标签实现,允许...
iBatis解决sql注入
weixin_30897079的博客
10-31 141
iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%' (3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%' (4) 这样参数...
ibatis sql注入
gddghs
02-08 430
转自:http://blog.csdn.net/scorpio3k/article/details/7610973 对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如:1)#xxx# 代表xxx是属性值、map里面的key或者是你的pojo对象里面的属性, ib
关于Ibatis 的自动防止SQL 注入
yangqillohe的专栏
04-30 6091
假设用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的。SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5;  delete  from  orders 那么原来的SQL语句将会变为,select * from product where id=5; delete from orders
ibatis防止sql注入
liuxigiant的专栏
10-10 3199
本文转载自:          http://blog.csdn.net/scorpio3k/article/details/7610973         http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
关于ibatisSQL注入
sun0322
12-13 856
<br />使用'$userId$'很有可能造成SQL注入问题,因为原理是替换里面的内容。<br /> <br />而使用#userId#则不会出现问题,这种方式是预编译,和JDBC中的PreparedStatem差不多,可以避免SQL注入问题
模糊查询 防止SQL注入
maihoney的专栏
06-22 929
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
防止SQL注入 iBatis模糊查询
wangxiaolongbob的专栏
10-30 1225
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%')   oracle: select * from stu where name like '%'||#name #||'%'  SQL Server
iBatis防止SQL注入
岁寒松柏
10-25 829
为了防止SQL注入iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。    mysql: select * from stu where name like concat('%',#name #,'%')    oracle: select * from stu where name like '
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值