Mybatis的sql注入问题

最新推荐文章于 2025-04-15 16:12:20 发布
最新推荐文章于 2025-04-15 16:12:20 发布
阅读量1.1k 收藏 6
点赞数
分类专栏: Mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mazhongjia/article/details/103886510
版权
本文深入探讨SQL注入攻击原理及防范措施,通过实例对比Statement与PreparedStatement,详解mybatis中使用#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、sql注入概念

SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序中数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。

二、sql注入举例

最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。比如验证用户登录需要 username 和 password,编写的 SQL 语句如下:

select * from user where (name = '"+ username +"') and (pw = '"+ password +"');

username 和 password 字段被恶意填入:username = "1' OR '1'='1";   与   password = "1' OR '1'='1";    将导致原本的 SQL 字符串被填为:

select * from user where (name = '1' or '1'='1') and (pw = '1' or '1'='1');

实际上运行的 SQL 语句将变成:

select * from user;

也就是不再需要 username 和 password 账密即达到登录的目的,结果不言而喻。

三、解决sql注入原理

利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字(比如上面的 "1' OR '1'='1"),数据库服务器也仅仅将他当作参数(比如上面的name与pw)的值使用,关键字不会起作用,从而从原理上防止了sql注入的问题。

四、JDBC中防止sql注入

使用PreparedStatement可以防止sq注入。

PreparedStatement主要有如下的三个优点:
   1.可以防止sql注入
   2.由于使用了预编译机制,执行的效率要高于Statement
   3.sql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.

  PreparedStatement 与Statment比较

                   1)语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql

                   2)效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高

                   3)安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。

/**
 * PreparedStatement執行sql語句
 * 
 *
 */
public class Demo1 {

    /**
     * 增加
     */
    @Test
    public void testInsert() {
        Connection conn = null;
        PreparedStatement stmt = null;
        try {
            //1.获取连接
            conn = JdbcUtil.getConnection();
            
            //2.准备预编译的sql
            String sql = "INSERT INTO student(NAME,gender) VALUES(?,?)"; //?表示一个参数的占位符
            
            //3.执行预编译sql语句(检查语法)
            stmt = conn.prepareStatement(sql);
            
            //4.设置参数值
            /**
             * 参数一: 参数位置  从1开始
             */
            stmt.setString(1, "李四");
            stmt.setString(2, "男");
            
            //5.发送参数,执行sql
            int count = stmt.executeUpdate();
            
            System.out.println("影响了"+count+"行");
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt);
        }
    }
    
    /**
     * 修改
     */
    @Test
    public void testUpdate() {
        Connection conn = null;
        PreparedStatement stmt = null;
        try {
            //1.获取连接
            conn = JdbcUtil.getConnection();
            
            //2.准备预编译的sql
            String sql = "UPDATE student SET NAME=? WHERE id=?"; //?表示一个参数的占位符
            
            //3.执行预编译sql语句(检查语法)
            stmt = conn.prepareStatement(sql);
            
            //4.设置参数值
            /**
             * 参数一: 参数位置  从1开始
             */
            stmt.setString(1, "王五");
            stmt.setInt(2, 9);
            
            //5.发送参数,执行sql
            int count = stmt.executeUpdate();
            
            System.out.println("影响了"+count+"行");
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt);
        }
    }
    
    /**
     * 删除
     */
    @Test
    public void testDelete() {
        Connection conn = null;
        PreparedStatement stmt = null;
        try {
            //1.获取连接
            conn = JdbcUtil.getConnection();
            
            //2.准备预编译的sql
            String sql = "DELETE FROM student WHERE id=?"; //?表示一个参数的占位符
            
            //3.执行预编译sql语句(检查语法)
            stmt = conn.prepareStatement(sql);
            
            //4.设置参数值
            /**
             * 参数一: 参数位置  从1开始
             */
            stmt.setInt(1, 9);
            
            //5.发送参数,执行sql
            int count = stmt.executeUpdate();
            
            System.out.println("影响了"+count+"行");
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt);
        }
    }
    
    /**
     * 查询
     */
    @Test
    public void testQuery() {
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;
        try {
            //1.获取连接
            conn = JdbcUtil.getConnection();
            
            //2.准备预编译的sql
            String sql = "SELECT * FROM student"; 
            
            //3.预编译
            stmt = conn.prepareStatement(sql);
            
            //4.执行sql
            rs = stmt.executeQuery();
            
            //5.遍历rs
            while(rs.next()){
                int id = rs.getInt("id");
                String name = rs.getString("name");
                String gender = rs.getString("gender");
                System.out.println(id+","+name+","+gender);
            }
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            //关闭资源
            JdbcUtil.close(conn,stmt,rs);
        }
    }
}

测试代码:

/**
 * 模拟用户登录效果
 * 
 *
 */
public class Demo2 {
    //模拟用户输入
    //private String name = "ericdfdfdfddfd' OR 1=1 -- ";
    private String name = "eric";
    //private String password = "123456dfdfddfdf";
    private String password = "123456";

    /**
     * Statment存在sql被注入的风险
     */
    @Test
    public void testByStatement(){
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            //获取连接
            conn = JdbcUtil.getConnection();
            
            //创建Statment
            stmt = conn.createStatement();
            
            //准备sql
            String sql = "SELECT * FROM users WHERE NAME='"+name+"' AND PASSWORD='"+password+"'";
            
            //执行sql
            rs = stmt.executeQuery(sql);
            
            if(rs.next()){
                //登录成功
                System.out.println("登录成功");
            }else{
                System.out.println("登录失败");
            }
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt ,rs);
        }
        
    }
    
    /**
     * PreparedStatement可以有效地防止sql被注入
     */
    @Test
    public void testByPreparedStatement(){
        Connection conn = null;
        PreparedStatement stmt = null;
        ResultSet rs = null;
        try {
            //获取连接
            conn = JdbcUtil.getConnection();
            
            String sql = "SELECT * FROM users WHERE NAME=? AND PASSWORD=?";
            
            //预编译
            stmt = conn.prepareStatement(sql);
            
            //设置参数
            stmt.setString(1, name);
            stmt.setString(2, password);
            
            //执行sql
            rs = stmt.executeQuery();
            
            if(rs.next()){
                //登录成功
                System.out.println("登录成功");
            }else{
                System.out.println("登录失败");
            }
            
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException(e);
        } finally {
            JdbcUtil.close(conn, stmt ,rs);
        }
        
    }
}

五、mybatis中防止sql注入

mybatis 解决 SQL 注入问题

我们使用 mybatis 编写 SQL 语句时,难免会使用模糊查询的方法,mybatis 提供了两种方式 #{} 和 ${} 。

  • #{value} 在预处理时,会把参数部分用一个占位符 ? 替代,其中 value 表示接受输入参数的名称。能有效解决 SQL 注入问题
  • ${} 表示使用拼接字符串,将接受到参数的内容不加任何修饰符拼接在 SQL 中,使用${}拼接 sql,将引起 SQL 注入问题。

#{} 只是替换?,相当于PreparedStatement使用占位符去替换参数,可以防止sql注入。
${} 是进行字符串拼接,相当于sql语句中的Statement,使用字符串去拼接sql;$可以是sql中的任一部分传入到Statement中,不能防止sql注入

举个例子:

1 查询数据库 sample 表 user 中的记录,我们故意使用特殊符号,看能否引起 SQL 注入。使用 mybatis 在 mapper.xml 配置文件中编写 SQL 语句,我们先采用拼接字符串形式,看看结果如何:

 <select id="findUserByName" parameterType="java.lang.String" resultType="cn.itcast.mybatis.po.User">
        <!-- 拼接 MySQL,引起 SQL 注入 -->
        SELECT * FROM user WHERE username LIKE '%${value}%'
    </select>

注意在配置文件中编写 SQL 语句时,后边不需要加分号。

调用配置文件,编写测试文件,查询数据库内容,采用特殊符号,引起 SQL 注入:

    @Test
    public void testFindUserByName() throws Exception{

        SqlSession sqlSession=sqlSessionFactory.openSession();

        //创建UserMapper代理对象
        UserMapper userMapper=sqlSession.getMapper(UserMapper.class);

        //调用userMapper的方法
        List<User> list=userMapper.findUserByName("' or '1'='1");

        sqlSession.close();

        System.out.println(list);
    }
}

运行结果如下图所示:

可以看到执行语句其实变为了

select * from user

将user 表中的全部记录打印出来了。发生了 SQL 注入。

2 如果将配置文件中的 SQL 语句改成 #{} 形式,可避免 SQL 注入。

 <select id="findUserByName" parameterType="java.lang.String" resultType="cn.itcast.mybatis.po.User">
        <!-- 使用 SQL concat 语句,拼接字符串,防止 SQL 注入 -->
        SELECT * FROM USER WHERE username LIKE CONCAT('%',#{value},'%' )
    </select>

再次运行测试程序,控制台输出如下:

可以看到程序中参数部分用 ? 替代了,很好地解决了 SQL 语句的问题,防止了 SQL 注入。查询结果将为空。

六、代码地址

https://github.com/mazhongjia/mybatis-common

 

代码审计:MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 584
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
MyBatis最佳实践:SQL注入问题
SOS_suyan的博客
01-22 828
SQL注入
MybatisSQL注入
2302_79184324的博客
10-12 1105
我们使用一个开源的cms来分析,java sql注入问题适合使用反推,先搜索xml查找可能存在注入的漏洞点→反推到DAO→再到实现类→再通过调用链找到前台URL,找到利用点,话不多说走起。以上就是Mybatissql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。根据文件名带Dao的xml为我们需要的,以IContentDao.xml为例,双击打开,ctrl +F 搜索$,查找到16个前三个为数据库选择,跳过,
MybatisMybatis存在的sql注入问题
杰叔叔不是个好叔叔的博客
06-24 744
尽量避免在SQL语句中直接拼接用户输入的数据。使用#{}占位符来传递参数,并确保参数被正确地预编译。对于需要动态拼接SQL的场景(如模糊查询、IN语句、ORDER BY等),使用MyBatis提供的标签和函数来确保安全性。在Java层面进行必要的验证和过滤,确保用户输入的数据符合期望的格式和范围。定期对代码进行安全审计和测试,及时发现并修复潜在的SQL注入漏洞。
SQL注入与安全问题:如何避免在 MyBatis-Plus 中出现 SQL 注入漏洞?
最新发布
一碗黄焖鸡三碗米饭的博客
04-15 929
SQL 注入SQL Injection)是一种攻击技术,攻击者通过将恶意的 SQL 语句插入到应用程序的输入中,从而改变原有的 SQL 查询逻辑。由于动态拼接 SQL 语句时未对输入参数进行过滤和校验,攻击者就能够执行任意 SQL 操作,甚至能够获取、修改或删除数据库中的数据。使用 MyBatis-Plus 的Wrapper对象:避免手动拼接 SQL,使用安全的参数化查询。参数化查询:通过预编译的方式,将用户输入作为参数传递给数据库,避免 SQL 注入。开启 MyBatisSQL 注入防护功能。
java编程学习笔记——mybatis SQL注入问题
玩赚AI大模型的博客
08-30 838
SQL 注入攻击  首先了解下概念,什么叫SQL 注入:  SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。  最常见的就是我们在应用程序中使用字符串联结...
MybatisSql注入问题
qq_37630321的博客
03-08 506
Sql注入 Sql注入:由于Sql拼接的原因,有些人使用一些非法的连接,导致Sql出现问题 Mybatis中$ 和#之间的区别:$会导致Sql注入,相当于Sql拼接的原始方式;#可以防止Sql注入,相当于预编译的?占位符方式。 Mybatis显示Sql注入 Mybatis使用$ 展示Sql注入 总结:mybatis中不要使用$,使用#可以防止sql注入问题。 ...
MYBATIS SQL注入问题
weixin_43840872的博客
10-27 389
什么是SQL注入? 是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 举个例子 比如用户登录 select * from user where (name = ’ username ') and (pw = ’ password '); username 和 password 字段被恶意填入 username = “1’ OR ‘1’='1”; 与 password = “1’ OR ‘1’='
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题Mybatis中的sql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
Mybatis sql注入问题
Natsumis的博客
03-10 767
1.mybatis中mapper文件中引用参数时有两种方式: ${}和#{} 2.推荐使用#{},因为${}可能引起sql注入问题。 3.例如: ① select * from user where id = #{id} 此时sql预编译是select * from user where id = ?, 引用会被占位符取代,较为安全。 ② select * from ${tableName} where name = #{name}   在这个例子中,如果表名为 user; delete user; –
MyBatis操作数据库(SQL注入
weixin_64308540的博客
03-05 1745
本文主要来讲解6大标签,以便更好的MyBatis操作数据库!
MyBatisSQL注入
猎户星座
12-05 776
一、Mybatis SQL注入防护原理 sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2615
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Mybatissql注入问题
QYH7777的博客
04-11 300
MyBatis中使用sql字符串拼接的时候,要注意防止sql注入问题。 首先说一下${}和#{}的区别 #{}:占位符,是以预编译的形式,将参数设置到sql语句中;PreparedStatement;防止sql注入 ${}:拼接符,取出的值直接拼装在sql语句中,会有安全问题sql注入; 实例语句中:name传入值为 李四 select * from user where name...
MybatisSQL注入
浩瀚银河
10-16 2562
1.简述 1.1.什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 2.SQL注入案例(Jdbc) 2.1.建表语句 create table user_mybatis( id int Primary key, ...
【安全】mybatis中#{}和${}导致sql注入问题及解决办法
Innocence_0的博客
01-24 4487
使用mybatis的时候遇到了#{}和${}可能导致sql注入问题
mybatis sql注入
09-12
尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值