4. MyBatis - 深度学习 - 注入攻击

青旅半醒 2023-07-03 06:18 4阅读 0赞

## 前言 ##

在日常工作中我们需要时刻避免被注入攻击，否则可能你工作就没了

## 不安全的演示 ##

使用 `${}` 语法时，MyBatis 会直接注入原始字符串，即相当于拼接字符串，因而**会导致 SQL 注入**

<select id="selectStudentListLike" resultMap="StudentMap">
      SELECT * FROM student
      WHERE name = ${_parameter}
    </select>

List<Student> selectStudentListLike(@Param("name") String name);

数据被全怼出来了

StudentMapper mapper = session.getMapper(StudentMapper.class);
    List<Student> code = mapper.selectStudentListLike("'' or 1=1");
    System.out.println(code);

## 避免SQl注入 ##

使用 `#{}` 语法时，MyBatis 会自动生成 `PreparedStatement`

<select id="selectStudentListLike" resultMap="StudentMap">
      SELECT * FROM student
      WHERE name = #{name}
    </select>

有时需要进行一些额外逻辑运行，通过 声明`<bind>`元素，并在其value 属性中添加运算脚本

<select id="selectStudentListLike" resultMap="StudentMap">
        <bind name="pattern" value="'%' + name + '%'"/>
        SELECT * FROM student 
        WHERE name LIKE #{pattern}
    </select>

concat

<select id="selectStudentListLike" resultMap="StudentMap">
        SELECT * FROM student WHERE name LIKE concat ('%', #{name}, '%')
    </select>

使用when + 默认值

<select id="selectUserListSortBy" resultMap="StudentMap">
      SELECT * FROM student 
     <choose>
        <when test="sortBy == 'name' or sortBy == 'age'">
          order by ${sortBy}
        </when>
        <otherwise>
          order by name
        </otherwise>
     </choose>
    </select>

发表评论取消回复

表情：

评论列表（有 0 条评论，4人围观）

还没有评论，来说两句吧...

相关阅读

相关 MyBatis以及Druid 防止sql注入攻击

SQL注入是一种代码注入技术，用于攻击数据驱动的应用，恶意的SQL语句被插入到执行的实体字段中（例如，为了转储数据库内容给攻击者）。\[摘自\] SQL injection -

以你之姓@/ 2024年02月19日 21:17/ 0 赞/ 17 阅读

相关 SQL 注入漏洞攻击

文章目录 1. 介绍 2. 无密码登录 3. 无用户名无密码登录 4. 合并表获取用户名密码 1. 介绍 !

不念不忘少年蓝@/ 2023年10月15日 20:37/ 0 赞/ 55 阅读

相关 SQL 注入攻击介绍

目录 1.什么是 SQL 注入攻击？ 2.如何防止 SQL 注入攻击？ 3.使用参数化 SQL 语句防止 SQL 注入攻击的原理是什么？ 4.什么

ゞ浴缸里的玫瑰/ 2023年10月08日 19:36/ 0 赞/ 19 阅读

相关防注入攻击

1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import

向右看齐/ 2023年08月17日 16:09/ 0 赞/ 154 阅读

相关 4. MyBatis - 深度学习 - 注入攻击

前言在日常工作中我们需要时刻避免被注入攻击，否则可能你工作就没了不安全的演示使用 `${}` 语法时，MyBatis 会直接注入原始字符串，即相当于拼接字符

青旅半醒/ 2023年07月03日 06:18/ 0 赞/ 5 阅读

相关防止JavaScript注入攻击

这篇文章主要介绍在ASP.NET MVC应用程序中如何防止JavaScript注入攻击。这篇文章讨论了两种防止JavaScript攻击的方法：在显示数据的时候，通过使用E

电玩女神/ 2022年06月05日 09:05/ 0 赞/ 671 阅读

相关 java--SQL注入攻击

SQL注入攻击概述该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句，也就有可能研究出绕过你检查的SQL语句，以下实例说明：登录操作，检查用户名

小鱼儿/ 2022年04月10日 05:49/ 0 赞/ 417 阅读

相关 SQL注入攻击防御

1. 使用预编译语句预编译语句PreparedStatement是java.sql中的一个接口，继承自Statement接口。通过Statement对象执行SQL语句时

水深无声/ 2021年11月22日 09:24/ 0 赞/ 465 阅读

相关 SQL注入攻击详解

一、什么是SQL注入 SQL 注入（SQLi）是一种注入攻击，，可以执行恶意 SQL 语句。它通过将任意 SQL 代码插入数据库查询，使攻击者能够完全控制 Web 应用程

墨蓝/ 2021年09月21日 03:38/ 0 赞/ 512 阅读

相关浅析：XSS攻击、SQL注入攻击和CSRF攻击

1、XSS（Cross Site Script）攻击跨站脚本攻击，是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式。跨站脚本攻击分有两种形式：反射

喜欢ヅ旅行/ 2021年09月14日 02:28/ 0 赞/ 588 阅读