浅谈Java下SQL注入问题

最新推荐文章于 2025-05-10 22:40:00 发布
最新推荐文章于 2025-05-10 22:40:00 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: java MySQL 文章标签: java sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42603304/article/details/123327856
版权
本文探讨了SQL注入的概念,特别是在Mybatis框架下如何发生。通过实例展示了SQL注入可能导致的数据安全问题,并提出了解决SQL注入的两种主要方法:严格的参数校验和使用SQL预编译,如JDBC的PreparedStatement。提醒开发者对SQL注入保持警惕。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQL注入

什么是SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

Mybatis下SQL注入

Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。

编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$
Java开发站点大多是预编译,相应的sql注入会少,但是仍然存在。在预编译获取参数使用的是#号,$是拼接意思,在像like,in 这种使用不规范#符会报错,所以会使用$,就会有机会产生SQL注入问题。

先看看简单的例子:

  • 正常情况:
--简单的查询语句,使用#
select id,name from user where id = #{id}

这里的id是前端传入的参数(假设为 1),正常执行日志是:

Preparing:select 'id','name' from 'user' where id = ?
Parmeters:1(String)
  • SQL注入:
--简单的查询语句,使用$
select id,name from user where id = ${id}

这时当前端带过来的参数是:1 or 1==1,执行的结果就会变为:

Preparing:select 'id','name' from 'user' where id = 1 or 1=1
Parmeter:

这时候可能觉得并没有什么问题,因为依旧能查询到数据。
此时有业务需求,MyBatis会同时查询多个参数,此时会在properties的数据库连接中添加allowMultiQueries=true这个参数。这时当前端参数写成:
1;delete from user,那么后台语句就会变成这样:

Preparing:select 'id','name' from 'user' where id = 1;delete from 'user';
Parmeter:

会产生数据丢失等严重问题。

下面再看另外的一个场景:
比如我们的登录功能,其登录界面包括用户名和密码输入框以及提交按钮,登录时需要输入用户名和密码,然后提交。此时调用接口
/user/login/ 加上参数username、password,首先连接数据库,然后后台对请求参数中携带的用户名、密码进行参数校验,即SQL的查询过程。假设正确的用户名和密码为root和123456,输入正确的用户名和密码、提交,相当于调用了以下的SQL语句。

SELECT * FROM user WHERE username = 'root' AND password = '123456'

SQL中会将#以后的字符串当做注释处理,如果我们使用 ' or 1=1 #作为用户名参数,那么服务端构建的SQL语句就如下:

select * from user where username='' or 1=1 #' and password='123456'

在用户输入变量的时候,先用一个分号结束当前的语句。然后再插入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“#”来终止注入的字符串。执行时,系统会认为此后语句位注释,故后续的密码文本将被忽略,不被编译与执行。而1=1属于常等型条件,因此这个SQL将在不需要用户名和密码校对情况下就能查询出所有的登录用户。
其实上面的SQL注入只是在参数层面做了些手脚,如果是引入了一些功能性的SQL那就更危险了,比如上面的登录功能,如果用户名使用这个' or 1=1;delete * from users; #,那么在";"之后相当于是另外一条新的SQL,这个SQL是删除全表,是非常危险的操作,因此SQL注入这种还是需要特别注意的。

如何解决SQL注入

  1. 严格的参数校验
    参数校验就没得说了,在一些不该有特殊字符的参数中提前进行特殊字符校验即可。

  2. SQL预编译
    在知道了SQL注入的原理之后,我们同样也了解到MySQL有预编译的功能,指的是在服务器启动时,MySQL Client把SQL语句的模板(变量采用占位符进行占位)发送给MySQL服务器,MySQL服务器对SQL语句的模板进行编译,编译之后根据语句的优化分析对相应的索引进行优化,在最终绑定参数时把相应的参数传送给MySQL服务器,直接进行执行,节省了SQL查询时间,以及MySQL服务器的资源,达到一次编译、多次执行的目的,除此之外,还可以防止SQL注入。

    具体是怎样防止SQL注入的呢?实际上当将绑定的参数传到MySQL服务器,MySQL服务器对参数进行编译,即填充到相应的占位符的过程中,做了转义操作。我们常用的JDBC就有预编译功能,不仅提升性能,而且防止SQL注入。
    使用#代替$,使用preparedStatement代替SQL拼接

  3. 慎重使用allowMultiQueries

浅谈如何防止sql注入
xj28555的博客
07-19 664
​认识SQL注入 什么是SQL注入,百度给大家解释的很清楚了!这里不过多介绍,帮大家复制过来。 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 如何防止SQL注入 有句老话说的好,有人的地方就会有江湖。SQL注入也有这么一句老话,叫有输入的地方就可能存在SQ...
浅谈JAVA软件开发的几大误区.pdf
12-31
例如,处理用户输入时应防止SQL注入,使用HTTPS协议确保数据传输安全,以及期更新依赖库以修复已知安全问题。 综上所述,理解并克服这些Java开发误区,将有助于提升软件开发的质量和效率。通过深入学习Java核心...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
SQL注入Java
weixin_33958366的博客
10-23 113
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
SQL注入问题
最新发布
2301_81096101的博客
05-10 1006
SQL注入问题
JavaSQL注入问题
bea_java的专栏
08-20 2481
 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,
Java程序员从笨鸟到菜鸟之(一百零二)sql注入攻击详解(三)sql注入解决办法...
红太阳照大地
11-05 950
在前面的博客中,我们详细介绍了: sql注入攻击详解(二)sql注入过程详解 sql注入攻击详解(一)sql注入原理详解 我们了解了sql注入原理和sql注入过程,今天我们就来了解一下sql注入的解决办法。怎么来解决和防范sql注入,由于本人主要是搞javaweb开发的小程序员,所以这里我只讲一下有关于javaweb的防止办法。其实对于其他的,思路基本相似。下面我们先...
java SQL注入
点>>滴>>成>>海
10-11 326
1.用户名随便输入 2.密码:1‘  or '1'='1
浅谈mybatis中的#和$的区别 以及防止sql注入的方法
09-01
在MyBatis中,`#`和`$`在动态SQL中的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
浅谈Java三大框架与应用
09-03
Java三大框架,即Spring、Struts和Hibernate,是Java Web开发中的核心组件,它们各自承担着不同的职责,共同构建起高效、稳的应用程序。本文将深入探讨这三个框架的基本概念、功能以及它们之间的协同工作。 首先...
浅谈Java web中基于Hashtable的数据库操作.zip
10-16
2. **创建Statement或PreparedStatement对象**:根据需求选择,Statement用于执行静态SQL语句,而PreparedStatement允许预编译SQL语句,提高性能并防止SQL注入攻击。 3. **执行SQL操作**:调用Statement或...
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
关于java程序SQL注入的解析以及解决方法
lvkemitu的博客
06-04 971
SQL注入的解析: SQL注入的解决方法:
java】JDBC中的SQL注入问题和解决方案
DreamSun的博客
03-16 1078
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以防止sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
JAVA】如何解决SQL注入
热门推荐
阳阳的博客
11-02 1万+
如何解决SQL注入? 面试中经常问到,SQL注入是什么?又怎么防止SQL注入?为了不再尴尬得只回答出使用PreparedStatement,我们还是有必要了解一下其他的方式。 一、什么是SQL注入? 说简单点,就是部分用户在表单中输入sql语句的片段,对没有输入检验的网站可能带来毁灭性的打击,轻则绕过登录,重则...
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 799
Java模拟SQL注入问题及解决方案
JDBC - java语言连接数据库、完成增删改查、解决SQL注入问题(详细)
weixin_51351637的博客
05-11 1896
一、基本介绍 从本质上来说,JDBC本质是SUN公司制的一套接口(接口都有调用者和实现者) JDBC 接口一套interface可以在API帮助文档下 java.sql找到 1.为什么面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 (多态机制是非常典型的面向抽象编程) 2、JDBC编程六部概述 背过!!!!!!!!!!!!!!!!! (1)注册驱动(告诉java程序,告诉java程序即将要连接的是哪个品牌的数据库) 例子: 方法1: //..
sql注入 java_JAVA实现sql注入点检测
weixin_42118011的博客
02-22 844
【实例简介】JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断【实例截图】【核心代码】sql└── sql├── bin│ ├── Choose.class│ ├── Content.class│ ├── DirScanner│ │ ├── DirParser.class│ │ └── ScanDir.class│ ├── Fieldname.class│...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1736
JAVA代码审计篇-SQL注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值