设为首页 收藏本站

运维网

查看: 177|回复: 0

[经验分享] mybatis如何防止SQL注入

[复制链接]
累计签到:224 天
连续签到:4 天
发表于 2019-12-3 11:05:55 | 显示全部楼层 |阅读模式
在日常的项目中,SQL注入漏洞很常见,带来的影响也非常大。不仅能够获取到整个数据,还可以通过进一步的渗透来获取服务器的权限,从而进入内网。

QL注入的本质,是通过用户输入的数据当做代码执行。

SQL注入例子:

当用户发送请求: http://localhost:9080/myDemo?id=10001,这个请求是进入一个详情页面,会显示出该数据的相关详细信息,后台代码会接收这个id参数传递给SQL语句,SQL语句如下:

select userId,userName from userTable where id = 10001

这是SQL的原义,也是开发人员和业务人员想要得到的结果,但是如果用户改变了id的内容,修改成如下:

http://localhost:9080/myDemo?id = 10001 and 1=2  union select username,userpwd from usertable

此时内部程序执行的SQL语句就会变为:

select userId,userName from userTable where id = 10001 and 1=2  union select username,userpwd from usertable

这条SQL语句的原义就会被改变,导致将数据表中的用户名和密码也显示出来,最后,攻击成功。

mybatis如何防止SQL注入呢?
假设mapper文件为:

<select id="getNameByUserId" resultType="String">  

           select userId,userName from userTable where id = #{userId}  

    </select>  

       对应的Java文件为:

public interface UserMapper{

        String getNameByUserId(@Param("userId") String userId);  
     }

       可以看到输入的参数是String类型,当接口接收到的userId为“10001 union select username,userpwd from usertable”,打印的语句如下:   
select userId,userName from userTable where id = ?

        这个正是SQL注入生效的过程。

结论:
       在编写mybatis的映射语句时,尽量采用“#{XXX}” 这样的格式,来防止SQL注入攻击


运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:[email protected] 网址:www.iyunv.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:[email protected],QQ:1061981298 本贴地址:https://www.iyunv.com/thread-989112-1-1.html 上篇帖子: mariadb-10.2.18源码编译安装 下篇帖子: MySQL最佳入门之MySQL基础操作
点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则  允许回帖邮件提醒楼主

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:[email protected]

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2020

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up


客服E-mail:[email protected] 在线客服QQ:点击这里给我发消息


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud bjyun

快速回复 返回顶部 返回列表