MyBatis中避免注入攻击

最新推荐文章于 2025-05-20 00:51:31 发布
最新推荐文章于 2025-05-20 00:51:31 发布
阅读量295 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: java 数据库
原文链接:http://www.cnblogs.com/JeeMoze/p/10005501.html
本文探讨了SQL注入的危害及预防措施,重点介绍了使用PreparedStatement和MyBatis的#{}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那么很有可能会产生注入,如

String sql = "SELECT * FROM users WHERE name ='"+ name + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

安全的写法是使用 参数化查询 ( parameterized queries ),即 SQL 语句中使用参数绑定( ? 占位符 ) 和 PreparedStatement,如

// use ? to bind variables
String sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
// 参数 index 从 1 开始
ps.setString(1, name);

使用PreparedStatement的好处是:

正常情况下,用户的输入是作为参数值的,而在 SQL 注入中,用户的输入是作为 SQL 指令的一部分,会被数据库进行编译/解释执行。当使用了 PreparedStatement,带占位符 ( ? ) 的 sql 语句只会被编译一次,之后执行只是将占位符替换为用户输入,并不会再次编译/解释,因此从根本上防止了 SQL 注入问题。

 

言归正传,现在说一说Mybatis中防止注入攻击。

 

在 MyBatis 中,使用 XML 文件 或 Annotation 来进行配置和映射,将 interfaces 和 Java POJOs (Plain Old Java Objects) 映射到 database records

 

XML 例子

Mapper Interface

@Mapper
public interface UserMapper{
    User getById(int id);
}

XML 配置文件

<select id="getById" resultType = "org.example.User" >
    SELECT * FROM user WHERE id = #{id}
</select>

Annotation 例子

@Mapper
public interface UserMapper {
    @Select("SELECT * FROM user WHERE id= #{id}")
    User getById(@Param("id") int id);
}

使用 #{} 语法时,MyBatis 会自动生成 PreparedStatement ,使用参数绑定 ( ?) 的方式来设置值,因此 #{} 可以有效防止 SQL 注入。

而使用 ${} 语法时,MyBatis 会直接注入原始字符串,即相当于拼接字符串,因而会导致 SQL 注入,如

<select id="getByName" resultType="org.example.User">
    SELECT * FROM user WHERE name = '${name}' limit 1
</select>

name 值为 ' or '1'='1,实际执行的语句为 

SELECT * FROM user WHERE name = ''or '1'='1' limit 1

因此建议尽量使用 #{}

但有些时候,如 order by 语句,使用 #{} 会导致出错,如

ORDER BY #{sortBy}

sortBy 参数值为 name ,替换后会成为

ORDER BY "name"

即以字符串 “name” 来排序,而非按照 name 字段排序

这种情况就需要使用 ${}

ORDER BY ${sortBy}

使用了 ${}后,使用者需要自行过滤输入,如

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <if test="sortBy == 'name' or sortBy == 'email'">
    order by ${sortBy}
  </if>
</select>

因为 Mybatis 不支持 else,需要默认值的情况,可以使用 choose(when,otherwise)

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <choose>
    <when  test="sortBy == 'name' or sortBy == 'email'">
      order by ${sortBy}
    </when>
    <otherwise>
      order by name
    </otherwise>
    </choose>
</select>

除了 orderby之外,还有一些可能会使用到 ${} 情况,可以使用其他方法避免,如

like 语句

  • 如需要使用通配符 ( wildcard characters % 和 _) ,可以

  • 在代码层,在参数值两边加上 %,然后再使用 #{}

  • 使用 bind 标签来构造新参数,然后再使用 #{}

<select id="getUserListLike" resultType="org.example.User">
    <bind name="pattern" value="'%' + name + '%'"/>
    SELECT * FROM user 
    WHERE name LIKE #{pattern}
</select>

 

<select id="getUserListLikeConcat" resultType="org.example.User">
    SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%')
</select>

除了注入问题之外,这里还需要对用户的输入进行过滤,不允许有通配符,否则在表中数据量较多的时候,假设用户输入为 %%,会进行全表模糊查询。

转载于:https://www.cnblogs.com/JeeMoze/p/10005501.html

MyBatis中SQL注入攻击和防护——掌握技巧保护应用安全
AI天才研究院
07-28 1416
随着互联网信息化、云计算等技术的发展,网站业务越来越多样化、个性化,对用户输入数据的安全性要求也越来越高。在WEB开发中,常用的一种方式是用SQL作为后台语言,通过ORM工具将数据存储到数据库中并进行相关查询。由于ORM框架本身的特点,容易受到SQL注入攻击。SQL注入(英语:SQL injection)指的是通过向服务器端发送非法的SQL命令,而不是使用有效的查询条件而访问数据库,最终获取不正确的数据。
mybatis SQL注入攻击 以及XSS攻击csrf攻击
sinat_31396769的博客
12-28 2283
mybatis SQL注入攻击 以及XSS攻击csrf攻击 以上攻击形式跟原理不多做介绍,此处记录处理方案 SQL注入 问题:系统在经过安全扫描是,被告知存在SQL注入的封信,mybatis的预编译是不存在注入风险的,但是在排序字段的处理上,没法使用预编译,同时,在个别字段,存在使用$取值等不规范的操作,以上操作均会出现注入的风险 注入代码实例: 字段添加如下信息,虽然报错,但是会暴露出数据库用户...
mybatis是如何防止SQL注入
热门推荐
义臻的博客
08-11 3万+
SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , name varchar(20) , age varchar(20) );   ...
Mybatis $如何防止注入
掐指一算乀缺钱
11-08 1232
#如何取代$防止注入 利用&lt;bind&gt;标签 注:&lt;bind&gt;标签最好放在&lt;if&gt;判断,或者确保有值,否则会报空指针异常. 例: &lt;if test="domainName != null and domainName != ''"&gt; &lt;bind name="domainName" value="'%' + domainName +
mybaits如何防止SQL注入mybatis的${}和#{}
FeiChangWuRao的博客
08-16 2421
其实这个mybatis的${}和#{}区别和使用,算是很古早很常见的一个基础问题了? 先说结论:尽可能使用#,不使用$,因为#可以防止SQL注入。 如果记不清楚,就记一句话或者是口诀:不是所有事都能靠钱能解决($号是货币符号) 为什么#可以防止SQL注入? #{} 占位符,${} 拼接符 #占位符对应的SQL是占位作用的,也就是形成的SQL对应的位置会用引号括起来,对于SQL来说就是一个参数而已。 $它是拼接符号,不是引号括起来的,它对应一串字符是可以与SQL拼在一起的,相当于成为SQL的一部分,这就很危险
mybatis防止SQL注入的方法实例详解
08-27
在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public interface UserMapper{ String getNameByUserId(String userId); } ``` 结论 SQL 注入攻击是一种简单的攻击手段,但可以通过...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql...若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击
mybatissql_mybatis解决sql注入
12-22
2. **使用SafeMapper插件**:MyBatis社区提供了一个名为SafeMapper的插件,它可以自动检查SQL语句,确保所有的用户输入都被正确地转义,防止可能的SQL注入攻击。 3. **使用MyBatis的拦截器**:通过实现`Interceptor...
JavaMyBatis 的 SQL 注入防范措施
最新发布
AI开发架构师
05-20 717
本文旨在为Java开发者提供全面的MyBatis SQL注入防护指南,涵盖从基础概念到高级防护技术的完整知识体系。我们将重点讨论MyBatis框架特有的安全机制和潜在风险,而非泛泛而谈SQL注入的一般防护措施。文章首先介绍SQL注入的基本原理和MyBatis框架的工作机制,然后深入分析各种防护措施,包括参数绑定、动态SQL安全使用等。随后提供实际案例和工具推荐,最后讨论未来发展趋势。SQL注入:通过将恶意SQL代码插入到应用程序输入参数中,从而欺骗服务器执行非预期SQL命令的攻击技术。
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
下面小编就为大家带来一篇浅谈mybatis中的#和$的区别 以及防止sql注入的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Mybatis防止SQL注入攻击
I'm Baymax D
08-05 1645
相比于ORM框架,Mybatis只能被称为半自动持久层框架,它其实是将JDBC进行了轻量级的封装,提供SQL映射能力,便于更为方便地管理项目中的SQL代码。 JDBC在使用时存在SQL注入攻击的风险,同样需要进行SQL编写的Mybatis同样也有这个问题,在使用时需要注意,防止被别有用心的人利用。 那么在Mybatis中如何避免SQL注入攻击呢? 答:在SQL映射文件中尽量使用#指示符标识参...
mybatis是如何防止SQL注入的学习笔记--1
Hacker-Prince
05-23 227
1、首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHA
mybatis是如何防止sql注入
学Java,找哪吒
07-09 1万+
Java基础教程系列,打造精品专栏。
Java后端XSS攻击防护和防止SQL注入
Logger
01-07 3119
最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
mybatis避免sql注入
05-18
MyBatis 中通过参数映射和 SQL 语句拼接的方式生成最终 SQL 语句,所以在使用 MyBatis 进行数据库操作时,为了避免 SQL 注入攻击,需要注意以下几点: 1. 使用参数占位符,而不是将参数值直接拼接到 SQL 语句中。 例如: ``` <select id="getUserByName" resultType="User"> select * from user where name = #{name} </select> ``` 这里的 `#{name}` 就是参数占位符,MyBatis 会将参数值进行转义后插入到 SQL 语句中,从而避免了 SQL 注入攻击。 2. 对于动态 SQL ,使用 `<if>` 和 `<where>` 等标签进行条件判断和 SQL 语句拼接。 例如: ``` <select id="getUserByCondition" resultType="User"> select * from user <where> <if test="name != null"> and name = #{name} </if> <if test="age != null"> and age = #{age} </if> </where> </select> ``` 这里的 `<where>` 和 `<if>` 标签可以根据条件动态生成 SQL 语句,从而避免了 SQL 注入攻击。 3. 避免使用拼接 SQL 语句的方式。 例如: ``` <select id="getUserByCondition" resultType="User"> select * from user where 1 = 1 <if test="name != null"> and name = '${name}' </if> <if test="age != null"> and age = '${age}' </if> </select> ``` 这里使用了 `${}` 表达式将参数值直接拼接到 SQL 语句中,容易造成 SQL 注入攻击,因此应该避免使用这种方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值