【Java】mybatis中#{}和${}导致sql注入问题及解决办法

这篇具有很好参考价值的文章主要介绍了【Java】mybatis中#{}和${}导致sql注入问题及解决办法。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

0.问题

使用mybatis的时候遇到了#{}和${}可能导致sql注入的问题

1.预先了解

(1)#{}

  • #{} 底层通过prepareStatement对当前传入的sql进行了预编译,一个 #{ } 被解析为一个参数占位符 ?;
  • #{} 解析之后会将String类型的数据自动加上引号,其他数据类型不会
  • #{} 很大程度上可以防止sql注入(sql注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作)
  • #{} 一般用在insert的字段和where条件中,用来防止sql注入

(2)${}

  • ${}仅仅为一个纯粹的 string 替换,在动态sql解析阶段将会进行变量替换
  • ${} 解析之后是什么就是什么
  • ${} 用在sql字符串拼接中,使用时需要非常谨慎。但是像一些没有直接和系统用户接触的功能如动态切换表名,库名呀就不存在注入问题了。一旦要使用在要被用户直接接触的sql中,一定要注意!

2.举个栗子

(1)${}

1)sql注入

@Select("select * from user where name = ${name}")
List<User> sqltest1(String name);

如果传进去的参数是

name = "1' OR 1='1";

那么数据库最后执行的语句则为

select * from user where name = '1' OR 1='1 ';

会直接导致sql注入,被攻击者成功登录

2)语句堵塞

@Select("select * from user order by ${column}")
List<User> sqltest1(String column);

如果传进去的参数是

column = "id,(select 1 from (select sleep(1000))a)"

那么数据库最后执行的语句则为

select * from user order by id,(select 1 from (select sleep(1000))a)

可以发现程序会阻塞1000秒,被攻击者造成语句堵塞

(2)#{}

1)无法执行

   @Select("select * from user order by #{column}")
    List<User> sqltest1(String column);

如果传进去的参数是

column = "name";

那么#{}会自动给参数加上单引号,数据库语句变成

select * from user order by 'name'

无法正常执行

2)无法执行

@Select("select * from user where name like '%#{name}%'")
List<User> sqltest2(String name);

如果传入的参数为

name = "yin";

那么数据库语句就变成

select * from user where name like '%'name'%'

直接报错,无法执行

3.解决办法

正常来看,一般的解决方法可以使用#{}来代替${},但是有的语句如果使用#{}会造成语句错误(因为#{}会将String类型的参数加上单引号)。必须要使用${}的有动态指定order by 排序字段、和like模糊匹配,但是这种方式会带来sql注入问题。具体解决方法如下:

(1)动态指定order by 排序字段

自定义一个Map,存入的key为前端传过来的值,value则是参与自定义排序的字段名。真正进行自定义排序的时候使用这个map即可。

// key为前端传的值,value为数据库对应的列值
    public static Map<String,String> orderByKeyMap = new HashMap<String,String>(){
        {
            put("userId","id");
            put("name","name");
        }
@Select("select * from user order by #{column}")
List<User> sqltest1(String column);
 List<User> users = mapper.sqltest3(User.orderByKeyMap.get("name"));

这样就不会出错了

(2)like模糊匹配

可以使用concat来拼接#{}的字符串,这样就不会报错,也不会导致索引失效

 @Select("select * from user where name like concat('%',#{name},'%')")
List<User> sqltest2(String name);

参入参数

name = "yin";

执行的语句就编程

select * from user where name like concat('%','yin','%');

这样就解决问题了

4.如何防止sql注入?

1. 使用预编译机制

尽量用预编译机制,少用字符串拼接的方式传参,它是sql注入问题的根源。

2. 要对特殊字符转义

有些特殊字符,比如:%作为like语句中的参数时,要对其进行转义处理。

3. 要捕获异常

需要对所有的异常情况进行捕获,切记接口直接返回异常信息,因为有些异常信息中包含了sql信息,包括:库名,表名,字段名等。攻击者拿着这些信息,就能通过sql注入随心所欲的攻击你的数据库了。目前比较主流的做法是,有个专门的网关服务,它统一暴露对外接口。用户请求接口时先经过它,再由它将请求转发给业务服务。这样做的好处是:能统一封装返回数据的返回体,并且如果出现异常,能返回统一的异常信息,隐藏敏感信息。此外还能做限流和权限控制。

4. 使用代码检测工具

使用sqlMap等代码检测工具,它能检测sql注入漏洞。

5. 要有监控

需要对数据库sql的执行情况进行监控,有异常情况,及时邮件或短信提醒。

6. 数据库账号需控制权限

对生产环境的数据库建立单独的账号,只分配DML相关权限,且不能访问系统表。切勿在程序中直接使用管理员账号。

7. 代码review

建立代码review机制,能找出部分隐藏的问题,提升代码质量。

8. 使用其他手段处理

对于不能使用预编译传参时,要么开启druid的filter防火墙,要么自己写代码逻辑过滤掉所有可能的注入关键字。文章来源地址https://www.toymoban.com/news/detail-796412.html

到了这里,关于【Java】mybatis中#{}和${}导致sql注入问题及解决办法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • MyBatis-Plus 引入依赖导致的Error creating bean和java.lang.NoClassDefFoundError: com/baomidou/mybatisplus问题

     使用mybatis-plus出现的一些问题记录。 问题错误截图 问题原因: 依赖冲突 项目主pom文件中引入了mybatis-plus-boot-start依赖,版本为 3.5.3 业务包中引入mybatis-plus代码生成器依赖版本为 3.4.1 导致mybatis-plus-core核心包存在两个版本,导致冲突   解决办法 修改业务包中mybatis-plus代码

    2024年02月09日
    浏览(53)
  • MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法

    MyBatis-Plus TenantPlugin 是 MyBatis-Plus 的一个为多租户场景而设计的插件,可以在 SQL 中自动添加租户 ID 来实现数据隔离功能。 MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 Te

    2024年02月07日
    浏览(39)
  • [Java安全]—Mybatis注入

    Mybatis注入留在了Spring后,因为感觉用Spring搭建web端后再进行注入比较贴合实际一些。 Mysql:5.7 Springboot:2.1 mybatis:3.5 创建了一个测试用的数据库Mybatis 这里用的Springboot环境,配置文件较多,先放出关键文件,最终项目放在后边 接口 配置 测试 执行语句是 select * from users wh

    2024年02月06日
    浏览(37)
  • 自动化更新导致的各种问题解决办法

    由于最近自动化频频更新导致出现各种问题,因此在创建驱动对象代码时改成这种方式 我最近就遇到了由于更新而导致的代码报错,报错信息如下: 复制内容如下: Exception in thread “main” org.openqa.selenium.remote.http.ConnectionFailedException: Unable to establish websocket connection to http://

    2024年02月13日
    浏览(38)
  • Alibaba Java Coding Guidelines(阿里代码规范插件,并且解决IDEA版本,导致无法在线安装问题)

    为了让开发更加方便、更为规范,阿里巴巴基于手册内容,研发了一套自动化的代码规范检测插件Alibaba Java Coding Guidelines 。该插件在扫描代码后,将不符合规约的代码按Blocker/Critical/Major三个等级显示在下方,严重程度由高到低为:Blocker Critical Major,严重程度由高到低为:

    2024年03月15日
    浏览(58)
  • 【已解决】:java.sql.SQLException 问题

    今天做项目开发的时候,发现了这个Bug,话不多说,直接定位Bug原理+解决! 发现好问题的报错后,就可以解决了。 Statement 接口提供了三种执行 SQL 语句的方法:executeQuery、executeUpdate 和 execute。 使用哪一个方法由 SQL 语句所产生的内容决定。 方法executeQuery 用于产生单个结果

    2023年04月25日
    浏览(51)
  • 【用友】关于近日微软吊销证书导致用友/金蝶软件无法使用问题及解决办法

    问题现象: 2023年8月23日,用友/金蝶用户大批量出现无法正常使用的情况,用友T3/T6服务无法启动,有的是在使用中频繁报错,如下图: 金蝶部分版本提示如下:  经过开发排查,发现是微软吊销了win10和win11上的verisign证书,导致程序证书签名失效无法正常使用。   受影响的

    2024年02月01日
    浏览(62)
  • Allegro因为精度问题导致走线连接不上的解决办法

    Allegro 因为精度问题导致走线连接不上的解决办法 在用Allegro做PCB设计的时候,尤其是从其它单板上导数据过来的时候,有时会因为精度不一致导致连接不上,如下图 线和过孔因为精度有微小的连接偏差 一般来说,可以逐个重新连接一下,但是如果连接点位比较多的话,需要

    2024年02月08日
    浏览(104)
  • 项目报错:java.sql.SQLNonTransientConnectionException:Could not create connection to database server解决办法

    1.在使用java连接数据库JDBC时,出现报错java.sql.SQLNonTransientConnectionException: Could not create connection to database server. 2.问题原因:mysql版本问题,需要下载对应的mysql版本,而且要下载对应mysql-connector的jar包版本。 3.win+r 输入cmd,查看mysql版本号. 4.下载对应的mysql版本,下载地址:ht

    2024年02月13日
    浏览(59)
  • Ubuntu开机桌面黑屏只有鼠标问题解决办法(搜狗输入法导致)

    参考: Ubuntu开机桌面黑屏只有鼠标问题解决办法(搜狗输入法导致) 问题描述 笔者在安装完搜狗输入法重启电脑后,电脑开机黑屏,只有鼠标的光标可以移动。笔者一开始以为是系统问题,网上查阅资料才发现有大量的网友都因为搜狗输入法而导致电脑黑屏,如果读者近期

    2024年02月16日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包