模糊查询LIKE语句的SQL注入预防

最新推荐文章于 2025-10-11 10:48:26 发布
原创 最新推荐文章于 2025-10-11 10:48:26 发布 · 2.2w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种在使用MyBatis框架时如何避免SQL注入的方法,特别是针对模糊查询中的LIKE语句。通过实例展示了不当的参数处理可能导致的安全隐患,并提出了使用#符号结合concat函数来有效防止SQL注入。
      一、在iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入;
     <select id="INSTITUTIONS-GET-PARAMS" resultMap="INSTITUTIONSDO-MAP" parameterClass="java.util.Map">
		<![CDATA[
		SELECT /*INSTITUTIONS-CLASSIFICATION-GET-ALL-COUNT */ 
			i.id,
			i.institution_name,
			i.institution_short_name,
			i.create_time,
			i.agency_headquarters,
			i.registration_site,
			i.website_url,
			i.brief_introduction,
			i.logo_url,
			i.hot 
		FROM ins i 
		]]>
		<isNotEmpty property="categoryCode">
			LEFT JOIN ins_industry ii 
    			ON i.id = ii.institutionId
 		 	LEFT JOIN ind_type it 
    			ON it.id = ii.typeId 
		</isNotEmpty>
		where 1=1 
		<dynamic>
			<isNotEmpty property="categoryCode"  prepend=" AND ">
				<![CDATA[
				it.category_code = #categoryCode# 
				]]>
			</isNotEmpty>
			<isNotEmpty property="institutionName"  prepend=" AND ">
				i.institution_short_name LIKE '%$institutionName$%' 
			</isNotEmpty>
			ORDER BY i.hot ASC 
			<isNotEmpty property="start">
	    	  LIMIT #start#, 
	    		<isNotEmpty property="size">
	    			#size#
	    		</isNotEmpty>
	    	</isNotEmpty>
		</dynamic>
   </select>

    如上SQL语句,如果用户输入:%' AND 2498=2498 AND '%'=',会构成如下SQL,精简后如下,是能正确返回记录的,即存在SQL注入:
          SELECT 
			i.id,
			i.institution_name,
			i.institution_short_name,
			i.create_time,
			i.agency_headquarters,
			i.registration_site,
			i.website_url,
			i.brief_introduction,
			i.logo_url,
			i.hot 
		FROM ins i 
			LEFT JOIN ins_industry ii 
    			ON i.id = ii.institutionId
 		 	LEFT JOIN ind_type it 
    			ON it.id = ii.typeId 
		where 1=1 AND 
				i.institution_short_name LIKE '%%' AND 2498=2498 AND '%'='%' 
		ORDER BY i.hot ASC LIMIT 0, 10


     二、解决办法:
           1、尽量避免采用$的方式,$会导致SQL注入,LIKE '%$institutionName$%' 和 LIKE concat('%',$institutionName$,'%') 都会导致SQL注入
           2、尽量采用#的方式,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;更详细的可以查看$和#的区别;
           3、对于例子中的模糊查询,可以用#结合concat函数,即修改为LIKE concat('%',#institutionName#,'%') ;
           4、以上只是编码LIKE语句的SQL注入防范,实际中需要对用户输入进行过滤处理;    
C#下模糊查询SQL语句
qq_30725967的博客
02-14 1107
本文讲解C#下模糊查询SQL语句
mybatis LIKE 查询时 $、# sql注入问题分析
heshiyuan1406146854的博客
04-11 959
然后 value 传递 xxx' UNION SELECT fd_userid,fd_nickname FROM tb_user WHERE fd_nickname LIKE '泰戈尔,分别调用 接口 queryUserListByNicknameLikeQuery_notSafe、queryUserListByNicknameLikeQuery_safe 进行测试。
防止Like注入
aidou6545的博客
08-21 195
有人天天高唱要什么安全,结果自己写代码的时候自己用Format函数作死,Demo如下: string.Format(" and Name like '%{0}%'", keywords); 写上面代码的人,麻烦劳累下,改成下述语句吧,不然你自己作死没人救得了你: DECLARE @name NVARCHAR(50) SET @name='元 '' or 1=1 ---...
浅谈SQL注入,看完就知道到底怎么个事儿了~
最新发布
bigbangbangbang1的博客
10-11 995
遇到MySql的盲注时,可以利用内置函数load_file()来完成DNSLOG。id=1asdf union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name = ‘指定表的名字’但实际情况中,如PHP为了防止sql注入机制,往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限。
like SQL注入防止 (bin2hex unhex)
02-22 278
普通的列表模糊查询,可能会被sql注入利用,造成数据泄漏,严重的甚至导致删表删库! 程序中sql语句拼装: $sql = 'student_name like '"%'.$name.'%"';   貌似正常的sql语句 SELECT * FROM tblStudent WHERE unit_name like "%aaa%" order by create_tim...
SQL中,likeSQL注入防止,使用预编译SQL(?)的写法
sun0322
07-09 4746
mysql数据库 and indexNum like concat('%',?,'%')"
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1382
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
Mybatis模糊查询和动态sql语句的用法
08-26
这种方法可以实现更加灵活的模糊查询,並且可以防止SQL注入。 三、多条件查询 在实际应用中,我们经常需要实现多条件查询,例如根据员工姓名和性别来查询员工信息。在Mybatis中,我们可以使用if标签和where标签来...
mysqllike语句注入_like查询中的SQL注入
weixin_39643865的博客
01-19 4433
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句Sql代码sql1:select *...
Python使用sql语句对mysql数据库多条件模糊查询.pdf
11-27
Python 使用 SQL 语句对 MySQL 数据库多条件模糊查询 Python 是一种广泛使用的编程语言,而 MySQL 是一种常用的关系型数据库管理系统。在实际应用中,我们经常需要使用 Python 连接 MySQL 数据库,并执行多条件...
SQL中,有效防止likeSQL注入
白高林的专栏
03-12 5949
SQL中有效防止likeSQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
C#使用带likesql语句时防sql注入的方法
09-04
主要介绍了C#使用带likesql语句时防sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,防止sql注入,需要的朋友可以参考下
模糊查询的like '%$name$%'的sql注入避免
fengdijiang的专栏
10-09 1715
模糊查询的like '%$name$%'的sql注入避免 Ibatis like 查询防止SQL注入的方法 Ibatis like 查询防止SQL注入的方法 mysql: select * from tbl_school where school_name like concat('%',#{name},'%') oracle: select * from tbl_schoo...
oracle like语法防注入
青春不打烊的博客
07-18 454
oraclelike语法防注入
SQL注入
qq_31088019的博客
08-04 2034
sql注入
sql注入新玩法-like
lovelj的博客
01-20 2797
一、前言 最近发现一个比较有意思的sql语句,使用like但是没有使用模糊查询,却匹配出了所有的字段 二、学习 1、int 型 n_id存在且n_id=1 n_id存在且n_id=2 由上可知,当字段值类型未int时,字段值=1 like 1(表达式为Ture),即效果为n_id=1,字段值=1 like 2(表达式为False),即效果为n_id=0,mysql中列值从1开始,因此返回为空,n_id=666 ,n_id不存在;进一步验证猜想 ...
模糊查询 防止SQL注入
maihoney的专栏
06-22 946
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
上班搞IT,下班搞ITF。
04-22 9092
Mybatis like 查询 防止SQL注入方法相关原理和解决方法整理
sql注入模糊查询like
01-12
### SQL注入中的LIKE操作符用于模糊查询 在SQL语句中,`LIKE`是一个非常有用的工具,可以用来执行基于模式匹配的搜索。当涉及到SQL注入攻击时,如果应用程序构建查询的方式不安全,则可能允许攻击者利用`LIKE`来进行未授权的数据检索[^1]。 #### 使用LIKE进行模糊查询的例子 假设有一个存在漏洞的应用程序通过HTTP GET请求接收参数并直接拼接到SQL查询字符串里: ```sql SELECT * FROM users WHERE username LIKE '%input%'; ``` 这里的`input`是从用户输入获取的内容。如果开发者没有正确地转义特殊字符或者使用预处理语句防止恶意输入的话,那么攻击者就可以构造特定形式的输入以绕过预期的安全控制。 例如,考虑下面这个简单的Python脚本模拟了一个易受攻击的Web应用接口: ```python import sqlite3 def search_user(query_param): conn = sqlite3.connect(':memory:') cursor = conn.cursor() # 创建表结构 create_table_sql = """ CREATE TABLE IF NOT EXISTS users ( id INTEGER PRIMARY KEY, username TEXT UNIQUE NOT NULL ); """ cursor.execute(create_table_sql) # 插入一些测试数据 insert_data_sql = "INSERT INTO users (username) VALUES ('admin'), ('testuser')" cursor.executescript(insert_data_sql) # 构建带有潜在风险的SQL查询 sql_query = f"SELECT * FROM users WHERE username LIKE '%{query_param}%';" results = cursor.execute(sql_query).fetchall() return results # 正常情况下传入合法用户名片段作为查询条件 print(search_user('ad')) ``` 这段代码展示了如何在一个内存数据库中创建表格、插入记录以及执行包含`LIKE`子句的查询。然而,在实际环境中应当避免这种做法;相反应该采用参数化查询或其他适当的方法确保安全性。 为了防范此类问题的发生,建议采取如下措施之一或组合使用: - **参数绑定**:大多数现代编程语言都提供了内置的支持函数库可以帮助我们更方便地实现这一点。 ```python import sqlite3 def safe_search_user(safe_query_param): conn = sqlite3.connect(':memory:') cursor = conn.cursor() ... # 安全方式下的SQL查询 sql_query = "SELECT * FROM users WHERE username LIKE ?;" results = cursor.execute(sql_query, ['%' + safe_query_param + '%']).fetchall() return results ``` - **正则表达式验证**:可以在接收到客户端提交的信息之前先对其进行格式校验,只接受符合规定范围内的值。 - **最小权限原则**:确保运行环境所使用的账户仅具有完成任务所需的最低限度的权利集。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值