通过处理参数和instr处理SQL注入

最新推荐文章于 2024-11-23 17:50:23 发布
最新推荐文章于 2024-11-23 17:50:23 发布
阅读量912 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Mysql 文章标签: SQL注入 SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/white_while/article/details/90487276
本文关注Web安全中的SQL注入问题,提出了通过使用SQL内置的instr函数处理LIKE场景的注入,并通过参数校验来防范IN场景的注入。在LIKE查询中,用instr替换LIKE以提高效率并避免注入;对于IN查询,建议在代码层面预先校验参数,特别是针对整数类型的参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

SQL注入

针对web安全问题,需要将项目中mybatis涉及${}的代码全部改成#{},由于涉及$的代码多是in和like,现在提供以下解决思路

in和like的场景

模糊查询,涉及多个字段
 name like '%${name}%'

条件查询 String ids; // ids:1,2,3
形如id这样类型为int的字段
 id in (${ids})

通过instr处理like场景的sql注入

针对name like ‘%${name}%’ 这样的模式查询
使用sql内建函数
instr(str, substr[, position[, occurrence]])替代

  • str:源字符
  • substr:目标字符
  • position:初始索引
  • occurrence:出现次数
instr(name, #{name,jdbcType=VARCHAR})>0  替代 name like '%${name}%'

使用instr的优势在于,当数据量很多时instr的效率比like要高(索引对instr有效)

注意:此方式只能出来like模糊查询的sql注入问题

通过校验参数处理in场景的sql注入

针对id in (${ids})这样条件查询中插入的语句,在代码中对参数进行校验


/**
 * Created by white_while
 * @author white_while
 */
public class CheckSqlParam {
    private CheckSqlParam() {}

    public static boolean checkParam(Map<Object, Object> paramMap, Set<String> ids) {
        boolean outcome = true;
        // 校验一下数据库类型为int的参数是否存在sql注入的风险
        Map<String, Object> result = new HashMap<String, Object>(){{
            put("param", null);
        }};
        try {
            paramMap.entrySet().stream().forEach(entry -> {
                boolean flag = ids.contains(entry.getKey());
                if (flag) {
                    result.put("param", entry);
                    String str = (String) entry.getValue();
                    // 将参数强转为int,若报错则传入参数有误
                    Arrays.stream(str.split(",")).forEach(Integer::parseInt);
                }
            });
        } catch (NumberFormatException e) {
            outcome = false;
        }
        return outcome;
    }
}

调用方:

 public Result getPojosOnCondition(Map<Object, Object> pojoMap) {
        // 校验一下参数是否存在sql注入的风险
        // ids applicationId userIds
        Set<String> ids = new HashSet<String>(Arrays.asList("ids", "applicationId", "userIds"));
        boolean outcome = CheckSqlParam.checkParam(pojoMap, ids);
        if (!outcome) {
            return new Result("参数有误");
        }
        ...
}

注意:此方式只能处理用于in的数据库类型为int的参数

关于SQL注入的总结
王意林的专栏
02-04 9136
虽然回家了,但是精神上一直病恹恹的,莫名其妙,搞了一学期的渗透,把经验总结一下,珠海估计去不成了,好好待在家休养生息也好。 首先搭一个简单的环境IIS7+MYSQL+ACCESS+MSSQL 环境配置: 因为装的是64位的win7所以环境配置上有一些麻烦。 ACCESS:(1)修改应用程序池高级设置,启用32为应用程序设置为TRUE (2)C:\Windows\SysWOW64\o
SQL 注入漏洞原理以及修复方法
最新发布
web14786210723的博客
01-21 793
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GETPOST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。使用参数SQL语句,同时也能提高查询的效率。
利用instr()函数防止SQL注入攻击
shenshuijian的专栏
06-23 402
<br /> If instr(Request("id")," ")>0 or instr(Request("id"),"'")>0 then response.redirect "index.asp"<br /><br />  当然,也可以在then后面写你想要的!这个先不管! <br /><br />  让我们先来学习instr这个函数吧: <br /><br />  语法 <br />InStr([start, ]string1, string2[, compare]) <br /><br />  I
mysql 4.0注入_史上最水的MYSQL注入总结
weixin_39548787的博客
01-19 282
[TOC]0x1 Forward​ 这篇文章的雏形我是发在了t00ls,后来我想了下还有其他挺有意思的内容还没总结进来,于是就有了一篇升级版(ps水货本质还是没变),希望有需要的师傅可以阅读看看。0x2 MySQL 基础知识1.字符串截取函数left(str,index) //从左边第index开始截取right(str,index) //从右边第index开始截取substring(str...
MyBatis 插入空值时,需要指定JdbcType.如#{name,jdbcType=VARCHAR}
bingguang1993的博客
01-26 1409
在执行SQL时MyBatis会自动通过对象中的属性给SQL参数赋值,它会自动将Java类型转换成数据库的类型。而一旦传入的是null它就无法准确判断这个类型应该是什么,就有可能将类型转换错误,从而报错。 要解决这个问题,需要针对这些可能为空的字段,手动指定其转换时用到的类型。 一般情况下,我们没有必要按个字段去识别/判断它是否可以为空,而是将所有的字段都当做可以为空,全部手动设置转换类型。 ...
SQL注入之骚姿势小记 & 替换 绕过
3569
08-29 2859
https://mp.weixin.qq.com/s/ORsciwsBGQJhFdKqceprSw 1、IN之骚 这个我也偶然发现的,也不知前辈们有没有早已总结好的套路了。w3school上对in操作符的介绍: http://www.w3school.com.cn/sql/sql_in.asp 对它的描述:IN操作符允许我们在WHERE子句中规定多个值。也就说可以让我们依照一或数个不连续(...
asp中一段防SQL注入的通用脚本
10-30
虽然它能够有效地识别并阻止一些基本的SQL注入尝试,但在实际部署中还需结合其他更全面的安全措施,例如参数化查询、存储过程以及输入验证等技术,共同构建起多层防护体系。此外,随着网络安全威胁的不断演变,...
asp下的风讯用的SQL通用防注入模块提供了
10-30
该段代码实现了一种简单的SQL注入防御机制,通过预先定义的一组SQL注入关键词列表,检查用户提交的GETPOST参数是否包含这些关键词。虽然这种方法能够在一定程度上防止SQL注入攻击,但并不是最安全的解决方案。更...
sql注入手工测试思路
yswy_的博客
11-23 1532
手工测试的时候核心就是判断我们插入的特殊语句是否被执行了,例如插入单引号、if、延时语句等等不同的字符来观察页面回显。下面主要介绍一下我个人的手工挖掘测试思路
oracle sql 注入危害实例演示
whandgdh的博客
06-05 2871
1、通过sql注入获取用户无权限获取的信息1.1 获取无法访问的表名1.2 获取表中的列1.3 获取无法访问表的信息2、sql注入窃取dba权限 oracle sql中不使用绑定变量除了会影响性能,还会有安全隐患。接下来进行实例演示。 在scott 用户下有一个非常重要的表bonus,储存员工的奖金工资信息。对于sh用户没有权限访问这个表,但是可以访问scott用户的如下存储过程。 test_i...
mysql 查询一个字串是否在一个字符串中
只管努力,莫问前程
03-10 1194
<if test="XXXXXXX"!= null"> and instr("字段名",#{"传进来的值",jdbcType=VARCHAR})>0 </if> 不要忘记有 >0
sql语句的模糊查询
my_rough_life的博客
11-07 417
数据库模糊查询
oracle 模糊查询语句 , 工作中用到的sql
SpringHASh的博客
08-08 598
<select id="findAll" resultMap="BaseMeterMap"> select * from (select rownum rownum_rn, a.* from(select am.meterId, am.meterBoxId, am.meter_name, am.meter_no, am.house_id, am.phase...
SQL函数--instr()
热门推荐
墓亦龍的博客
03-23 1万+
1、instr函数:在Oracle/PLSQL中是:返回要截取(查找)的字符串在源字符串中的位置。2、语法:instr( string1, string2, start_position,nth_appearance )        string1 :源字符串,在它中查找。          string2 :要查找的字符串。       start_position : 开始查找的位子。可选参...
MyBatis模糊查询之likeINSTR,二者都可以进行模糊查询,当使用INSTR时代码更简洁
Be_insighted的博客
09-13 1027
模糊查询之likeINSTR,二者都可以进行模糊查询,使用INSTR代码更简洁 <if test="queryDTO.keyword != null and queryDTO.keyword != ''"> AND (name LIKE concat('%',#{keyword},'%') OR identifier LIKE concat('%',#{keyword},'%')) </if> <if test="queryDTO.keyword !
MyBatis 插入空值时,需要指定JdbcType
牧羊仒
12-14 9111
在执行SQL时MyBatis会自动通过对象中的属性给SQL参数赋值,它会自动将Java类型转换成数据库的类型。而一旦传入的是null它就无法准确判断这个类型应该是什么,就有可能将类型转换错误,从而报错。 要解决这个问题,需要针对这些可能为空的字段,手动指定其转换时用到的类型。 一般情况下,我们没有必要按个字段去识别/判断它是否可以为空,而是将所有的字段都当做可以为空,全部手动设置转换类型。
提高sql查询性能-使用instr函数替换like
李坤 大米时代 第五期
07-28 1万+
在查询时经常使用like作为关键字进行模糊查询,在生产环境中由于数据量较大,使用like查询时比较慢,尝试了一些方法,最终发现使用oracle的instr函数可以显著提高查询的效率. 关于数据量: SELECT count(1) FROM t_partner_role;  --612565 SELECT count(1) FROM T_VENDOR_REPOSITORY; 
oracle 逗号,oracle中instr巧妙处理带逗号的问题
weixin_39826342的博客
04-03 967
今天遇到的一个问题,上午搞大半天硬是没有搞定。郁闷!看来还是经验不够,基础知识不扎实!表结构大致如下:Table_A:A_idA_codeA_moneyA_others1A00150……2A00260……3A003100……4A00470……Table_B:B_idB_nameB_othersA_codes1组1……A001,A0022组2……A001...
ASP防止SQL注入技术实现
在网络安全领域,SQL注入是一种常见的攻击手段,攻击者通过在输入数据中嵌入恶意的SQL语句,试图操控数据库系统,获取敏感信息或者破坏数据库内容。本资源主要针对ASP环境下的SQL注入进行讲解。 首先,ASP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值