2. 程式人生 > >MyBatis中避免注入攻擊

MyBatis中避免注入攻擊

阿新 發佈:2018-11-23

直接使用 JDBC 的場景,如果程式碼中存在拼接 SQL 語句,那麼很有可能會產生注入,如

String sql = "SELECT * FROM users WHERE name ='"+ name + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

安全的寫法是使用 引數化查詢 ( parameterized queries ),即 SQL 語句中使用引數繫結( ? 佔位符 ) 和 PreparedStatement,如

// use ? to bind variables
 

String sql = "SELECT * FROM users WHERE name= ? ";
PreparedStatement ps = connection.prepareStatement(sql);
// 引數 index 從 1 開始
ps.setString(1, name);

使用PreparedStatement的好處是:

正常情況下,使用者的輸入是作為引數值的,而在 SQL 注入中,使用者的輸入是作為 SQL 指令的一部分,會被資料庫進行編譯/解釋執行。當使用了 PreparedStatement,帶佔位符 ( ? ) 的 sql 語句只會被編譯一次,之後執行只是將佔位符替換為使用者輸入,並不會再次編譯/解釋,因此從根本上防止了 SQL 注入問題。

 

言歸正傳,現在說一說Mybatis中防止注入攻擊。

 

在 MyBatis 中,使用 XML 檔案 或 Annotation 來進行配置和對映,將 interfaces 和 Java POJOs (Plain Old Java Objects) 對映到 database records

 

XML 例子

Mapper Interface

@Mapper
public interface UserMapper{
    User getById(int id);
}

XML 配置檔案

<select id="getById"
 
 resultType = "org.example.User" >
    SELECT * FROM user WHERE id = #{id}
</select>

Annotation 例子

@Mapper
public interface UserMapper {
    @Select("SELECT * FROM user WHERE id= #{id}")
    User getById(@Param("id") int id);
}

使用 #{} 語法時,MyBatis 會自動生成 PreparedStatement ,使用引數繫結 ( ?) 的方式來設定值,因此 #{} 可以有效防止 SQL 注入。

而使用 ${} 語法時,MyBatis 會直接注入原始字串,即相當於拼接字串,因而會導致 SQL 注入,如

<select id="getByName" resultType="org.example.User">
    SELECT * FROM user WHERE name = '${name}' limit 1
</select>

name 值為 ' or '1'='1,實際執行的語句為 

SELECT * FROM user WHERE name = ''or '1'='1' limit 1

因此建議儘量使用 #{}

但有些時候,如 order by 語句,使用 #{} 會導致出錯,如

ORDER BY #{sortBy}

sortBy 引數值為 name ,替換後會成為

ORDER BY "name"

即以字串 “name” 來排序,而非按照 name 欄位排序

這種情況就需要使用 ${}

ORDER BY ${sortBy}

使用了 ${}後,使用者需要自行過濾輸入,如

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <if test="sortBy == 'name' or sortBy == 'email'">
    order by ${sortBy}
  </if>
</select>

因為 Mybatis 不支援 else,需要預設值的情況,可以使用 choose(when,otherwise)

<select id="getUserListSortBy" resultType="org.example.User">
  SELECT * FROM user 
  <choose>
    <when  test="sortBy == 'name' or sortBy == 'email'">
      order by ${sortBy}
    </when>
    <otherwise>
      order by name
    </otherwise>
    </choose>
</select>

除了 orderby之外,還有一些可能會使用到 ${} 情況,可以使用其他方法避免,如

like 語句

  • 如需要使用萬用字元 ( wildcard characters % 和 _) ,可以

  • 在程式碼層,在引數值兩邊加上 %,然後再使用 #{}

  • 使用 bind 標籤來構造新引數,然後再使用 #{}

<select id="getUserListLike" resultType="org.example.User">
    <bind name="pattern" value="'%' + name + '%'"/>
    SELECT * FROM user 
    WHERE name LIKE #{pattern}
</select>

 

<select id="getUserListLikeConcat" resultType="org.example.User">
    SELECT * FROM user WHERE name LIKE concat ('%', #{name}, '%')
</select>

除了注入問題之外,這裡還需要對使用者的輸入進行過濾,不允許有萬用字元,否則在表中資料量較多的時候,假設使用者輸入為 %%,會進行全表模糊查詢。

相關推薦

MyBatis避免注入攻擊

直接使用 JDBC 的場景,如果程式碼中存在拼接 SQL 語句,那麼很有可能會產生注入,如 String sql = "SELECT * FROM users WHERE name ='"+ name + "'"; Statement stmt = connection.createStatement

31、你瞭解Java應用開發注入攻擊嗎?

安全是軟體開發領域永遠的主題之一,隨著新技術浪潮的興起,安全的重要性愈發凸顯出來,對於金融等行業,甚至可以說安全是企業的生命線。不論是移動裝置、普通 PC、小型機,還是大規模分散式系統,以及各種主流作業系統,Java 作為軟體開發的基礎平臺之一,可以說是無處不在,自然也就成為安全攻擊的首要

Mybatis防止SQL注入攻擊

相比於ORM框架,Mybatis只能被稱為半自動持久層框架,它其實是將JDBC進行了輕量級的封裝,提供SQL對映能力,便於更為方便地管理專案中的SQL程式碼,同時避免程式設計師重複手動編寫連線資料庫底層程式碼,並提供資料快取能力。 JDBC在使用時存在SQL注

asp中用正則表示式過濾字元,避免注入攻擊

Pattern 屬性的用法: Function RegExpTest(patrn, strng) Dim regEx ' 建立變數。 Set regEx = New RegExp ' 建立正則表示式。 regEx.Pattern = patrn ' 設定模式。 regEx.IgnoreCase = True

dljd_013_使用PreparedStatement避免SQL注入攻擊

一、使用PreparedStatement來避免SQL注入攻擊示例   這裡我只提供原始碼、測試類及結果截圖資訊、建庫/表的語句詳見上一集 package edu.aeon.logon; import java.sql.Connection; import java.sql.Prepared

Mybatis#{}和${}的區別以及對sql注入、預編譯、jdbcType的說明

#{}和${}都可以獲取map中的值或者pojo物件屬性的值; sql語句示例: select * from tbl_employee where id=${id} and last_name=#{lastName} Preparing: select * from tbl_employee

Mybatis的SQL防注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如“or ‘1’=‘1’”這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比

Mybatis使用流式查詢避免資料量過大導致OOM

一、前言 前面介紹了裸露JDBC 方式使用流式程式設計,下面介紹下MYbatis中兩種使用流式查詢方法 二、Mybaits中MyBatisCursorItemReader的使用 2.1 配置 MyBatisCursorItemReader的注入 <bean id="myMyBa

PHP防XSS攻擊和防sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

MyBatis 防止 % _ sql 注入攻擊 解決方法

首先說思路,在mybatis中防止sql注入,目前只能在Controller層進行轉義,後臺sql進行查詢,然後在controller層轉義回來,返回到前臺。 理論上應該可以在dao.xml中進行判斷   但是目前還沒寫出來。Orz 上程式碼 @RequiresPer

如何避免JavaScript 注入攻擊

什麼是 JavaScript 注入攻擊? 每當接受使用者輸入的內容並重新顯示這些內容時,網站就很容易遭受 JavaScript 注入攻擊。假設已經建立了一個客戶反饋網站。客戶可以訪問網站並輸入對產品的反饋資訊。當客戶提交反饋時,反饋資訊重新顯示在反饋頁面上。客戶

Mybatis的#{}與${}區別以及什麼是SQL注入

今天搞懂了一個問題,就是在使用Mybatis時#{}與${}到底有什麼區別?原來也看過別人的部落格,感覺總是迷迷糊糊(原諒我是菜鳥),今天把這個問題整理了一遍,水平有限,各位大佬如果發現錯誤的地方請指正1,首先Mybatis中的#{}與${}到底有什麼區別?其實,區別就是如果

如何在開發避免SQL注入

如何避免SQL注入攻擊 可以使用Statement中的子介面實現類PreparedStatement來避免SQL注入攻擊 PreparedStatement 表示預編譯的SQL語句的物件,Sql語句是預編譯的,並且儲存在PreparedStatemen

mybatis#{}與${}的差別(如何防止sql注入

預設情況下,使用#{}語法,MyBatis會產生PreparedStatement語句中,並且安全的設定PreparedStatement引數,這個過程中MyBatis會進行必要的安全檢查和轉義。 #相當於對資料 加上 雙引號,$相當於直接顯示資料 示例1: 執行SQL:s

Mybatis$和#的注入使得在控制檯寫的sql語句和資料庫寫的語句查詢結果不一致。

在使用注入引數的過程中 如果使用高階查詢if 標籤<if test="id!=null"> order by  #{0} <if>  當注入這個語句時候, 這個語句是不會被識別的, 原因是因為,#是防止注入的, 在if標籤中有sql語句, 所有注入的

Intellij IDEAMybatis Mapper自動注入警告的6種解決方案

相信使用Mybaits的小夥伴們一定會經常編寫類似如下的程式碼: 可以看到 userMapper 下有個

MybatisjavaType和jdbcType對應關系

mat brush true real default url define red tools MyBatis 通過包含的jdbcType類型 BIT FLOAT CHAR TIMESTAMP OTHER

MybatisMapper代理形式開發與spring整合

can sna 修改 jar xid oca pac user cal 1.導入jar包 2.分包 cogfig:存放配置文件 mapper:存放映射與接口 pojo:存放實體類 test:測試代碼 3.編寫配置文件 SqlMapConfig.xml <?

mybatis的#和$的區別

背景 插入 trac sql註入 -m .com article 參數 -s 1. #將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #user_id#,如果傳入的值是111,那麽解析成sql時的值為order by "111", 如果傳

MyBatisselectKey的查詢

sql str 過程 logs conf lis llb 處的 select 1.定義映射文件中定義selectKey的查詢 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLI