MyBatis使用#和$操作符模拟sql注入

最新推荐文章于 2025-04-04 13:28:23 发布
原创 最新推荐文章于 2025-04-04 13:28:23 发布 · 547 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过具体示例对比了MyBatis中#与$操作符在SQL注入防护上的区别,展示了#操作符如何有效防止SQL注入攻击,而$操作符则存在安全隐患。

文章目录

一、接口方法:

    public interface PlayerDao {
        List<Player> findByName(@Param("playName") String playName);
    }
    
    Mapper文件1:
     <select id="findByName" resultType="Player">
            select *
            from tb_player
            where  playName = #{playName}
     </select>

    Mapper文件2:
      <select id="findByName" resultType="Player">
             select *
             from tb_player
             where  playName = '${playName}'
      </select>

二、测试代码

	关键代码如下:
    public void testSqlInject() {
            // 1.获取sqlSession
            SqlSession sqlSession = sqlSessionFactory.openSession();
            // 2.获取对应mapper
            PlayerDao mapper = sqlSession.getMapper(PlayerDao.class);
            String playName = "Lebron James";
            String fakeName = "Lebron Jamesxxx' or '1 = 1 ";
            //List<Player> list = mapper.findByName(playName);
            List<Player> list = mapper.findByName(fakeName);
            for (Player player: list) {
                System.out.println(player);
            }
            System.out.println(list.size());
        }

三、验证

验证#操作符

  • 使用Mapper文件1:
  • 执行testSqlInject,分别放开执行下面2行代码
    List<Player> list = mapper.findByName(playName);
    List<Player> list = mapper.findByName(fakeName);
    执行第一行,只能找到一条记录,
    执行第二行,不能找出任何记录,
    从而验证了#的防sql注入。

验证$操作符

  • 使用Mapper文件2
  • 执行testSqlInject,分别放开执行下面2行代码
    List<Player> list = mapper.findByName(playName);
    List<Player> list = mapper.findByName(fakeName);
    执行第一行,只能找到一条记录,
    执行第二行,可以找出数据库的全部记录,
    从而验证了$的sql注入的不安全性。

四、参考

Java 中 MyBatisSQL 优化技巧与案例
Java大师兄的博客
04-25 1091
在 Java 开发中,MyBatis 是一个广泛使用的持久层框架,它简化了数据库操作,使得开发者可以通过 XML 或注解的方式编写 SQL 语句。然而,不合理的 SQL 语句会导致系统性能下降,如查询响应时间过长、数据库资源占用过高等问题。本文的目的是深入探讨 MyBatisSQL 优化的技巧,并通过实际案例进行说明,范围涵盖 SQL 语句的编写优化、索引的合理使用、缓存机制的应用等方面。本文首先介绍 MyBatis 的核心概念与联系,包括其架构工作原理。
《网络安全自学教程》- 预编译防止SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理,预编译如何防止SQL注入?预编译的局限性
模拟cisp-pte 第一题sql注入
小明师傅博客
06-13 4792
and 1=1,发现被过滤了空格,用/**/代替继续,而且看到有引号应该是字符型 加个单引号括号成功报错,后面用%23过滤确定有注入点 group by确认回显位置,发现是4 联合查询显示回显位置,发现union被过滤,双写绕过 查看当前数据库database(),查表,查到最后也没发现key 最后发现题目要求的是要读取/tmp/360/key文件 成功了 ...
一篇文章教你玩转,入门级 SQL 注入实战!
朱雀随云记的博客
04-11 1107
uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。
网络攻防技术——SQL注入
学习记录
02-27 3419
一、题目 SQL注入是一种代码注入技术,它利用web应用程序数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。 在本实验室中,我们创建了一
mybatis#{}与${}的差别(如何防止sql注入
热门推荐
E=mc²
04-24 1万+
默认情况下,使用#{}语法,MyBatis会产生PreparedStatement语句中,并且安全的设置PreparedStatement参数,这个过程中MyBatis会进行必要的安全检查转义。 #相当于对数据 加上 双引号,$相当于直接显示数据 示例1: 执行SQL:select * from emp where name = #{employeeName} 参数:employeeNa
SQL 注入-模拟操作
嘻哈熊的专栏
05-22 884
链接:https://jizhi.im/blog/post/sql_injection_intro 先来看一副很有意思的漫画: 相信大家对于学校们糟糕的网络环境运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊 SQL 注入相关的内容。 何谓 SQL 注入SQL 注入是一种非常常见的数据库攻击手段,SQL 注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是 SQL 注入方法。 SQL 注入其实就是恶意用户通过在表单中填.
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
程序员良辰
06-17 3590
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
MyBatis防止SQL注入实战教程
MyBatis提供了防止SQL注入的机制,如使用预编译的SQL语句(PreparedStatement)动态SQL。 3. **防止SQL注入的方法**: - **预编译SQL语句**:PreparedStatement能有效防止SQL注入,因为它会自动处理用户输入的...
Java 领域 MyBatis 动态 SQL 的高级应用
最新发布
Java大师兄的博客
04-04 729
在 Java 开发中,数据库操作是至关重要的一部分。MyBatis 作为一款优秀的持久层框架,提供了强大的动态 SQL 功能,能够根据不同的条件动态生成 SQL 语句,大大提高了 SQL 语句的复用性灵活性。本文的目的是深入探讨 MyBatis 动态 SQL 的高级应用,包括复杂条件查询、动态插入、更新删除等操作,帮助开发者更好地利用 MyBatis 的特性进行高效的数据库开发。本文将按照以下结构进行阐述:首先介绍核心概念与联系,让读者了解动态 SQL 的基本原理架构;
JDBC模拟SQL注入避免SQL注入
YOU__FEI的博客
10-03 1237
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
Tornado+MySQL模拟SQL注入
weixin_30470857的博客
07-05 201
实验环境: python 3.6 + Tornado 4.5 + MySQL 5.7 实验目的: 简单模拟SQL注入,实现非法用户的成功登录 先给一个SQL注入的图解,图片来自网络: 一、搭建环境 1、服务端的tornado主程序app.py如下: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import torna...
一个简单的登陆案例模拟sql注入及Statement与PreparedStatement对比
浅时光|初如梦
06-15 742
1. sql注入 由于后台的sql是拼接而来,其中的参数是用户提交的,如果用户在提交参数时,参杂了一些sql的关键字或者特殊符号,可能会导致sql语义的改变,从而造成一些意外的操作。 2.Statement Statement主要用于执行静态sql语句,即内容固定不变的sql语句 Statement没执行一次都要对传入的sql语句编译一次,效率较差 某些情况下,sql语句只是其中的参数有所不同,其余子句完全相同,不适用于Statement 会被sql注入攻击 模拟sql 注入的代码实现如下:
模拟sql注入实现远程桌面登录
08-26 354
首先用sql注入文件命令y url+一句话 into outfile 绝对路径/test.php 用蚁剑连接打开连接的终端 先看用户的权限 创建一个用户将它放入队列中 查看3389端口是否开启 0xd3d 16进制解码为3389 打开远程桌面连接输入新建的用户密码 成功远程桌面连接 转载于:https://www.cnblogs.c...
PreparedStatement 模拟并解决sql注入
学习笔记
08-01 514
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象的sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。预编译sql语句执行预防sql注入问题。Sql语句中的参数,使用?...
mybatis的简单模拟
LiangCJP的博客
09-09 596
我们首先来观察 mybatis-config.xml,里面需要配置一个数据源,那么我们准备一个数据源的实体类。 mybatis-config.xml: &lt;?xml version="1.0" encoding="UTF-8" ?&gt; &lt;!DOCTYPE configuration   PUBLIC "-//mybatis.org//DTD Config 3.0//EN"   ...
mybatis#{}${}的区别以及${}的sql注入
林高禄
10-29 2419
区别总览 sql注入演示 区别总览 这个文章说的很清楚了MyBatis#{}${}的区别 sql注入演示 这里主要演示${}的sql注入
Mybatis# $使用详解
小小默:进无止境
02-13 9311
Mybatis的mapper.xml中经常看到这两个符号,其中 # 频率最高。 如下: &amp;amp;lt;insert id=&amp;amp;quot;insertUSer&amp;amp;quot; parameterType=&amp;amp;quot;User&amp;amp;quot; &amp;amp;gt; insert into c_user (name,age) values(#{name},#{age}) &
【安全】mybatis#{}${}导致sql注入问题及解决办法
m0_59598029的博客
03-22 4437
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
掌握Mybatis动态SQL标签,提升数据库操作灵活性与安全性
利用动态SQL,开发者可以创建出更加灵活高效的数据库操作语句,同时还能通过参数化查询等技术来防止SQL注入攻击,从而增强程序的安全性。 知识点三:MyBatis中常用动态SQL标签 在MyBatis动态SQL的实现中,有几个...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值