zoukankan      html  css  js  c++  java
  • mybatis ${} sql注入

    mybatis中${}的sql注入解决方案

    主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议

    首先#{}和${}在预编译中的处理是不一样的。

    #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句:

    select * from user where name = ?;

    ${}则只是简单的字符串替换,在动态解析阶段,该sql语句会被解析成

    select * from user where name = 'Seattle';

    上面#{}的参数转换是发生在DBMS中,而${}则发生在动态解析过程中的,所以优先使用#{},这样就可以避免sql解析注入。

    下面介绍几种查询避免sql注入的案例

    1.模糊查询like的两种修复建议:

    select * from user where name like '%${name}%';  /*有注入风险sql*/

    处理方式1:在程序中校验并拼接%后,直接用#格式,如下

    select * from user where name like #{name}

    处理方式2:在xml配置中用sql的内置函数拼接,如下

    select * from user where name like concat('%',#{name},'%');

    -----------------------------------------------------------------------------------------

    2.in查询的注入修复建议

    select * from user where id in

    <foreach collection="ids" item="item" open="("separator="," close=")">#{item}</foreach>

    -----------------------------------------------------------------------------------------

    3.order by修复建议

    select * from userorder by #{name} desc  /*有问题sql*/

    因为预编译机制只能处理查询参数,此处显然不是查询参数,需要开发人员自己处理。所以只能这样拼接:

    select * from userorder by ${name} desc 

    针对这种情况研开发人员可以通过程序来进行解决。比如制定一个规则,判断执行此程序时是否需要排序,然后把排序的字段传进来,这样比较简单。

    其实也可以在xml中处理,用if去判断,这样就显得比较硬编码,而且sql也增加了不少,不便阅读。我觉得在程序处理好一点。

    上面第一个in也可以在程序处理,但是xml处理更直观简单,所以我就没写程序处理建议。

  • 相关阅读:
    eclipse快捷键
    Struts2框架(8)---Struts2的输入校验
    Struts2框架(5)---result结果集
    Spring框架(6)---AspectJ实现AOP
    Spring框架(4)---AOP讲解铺垫
    Spring框架(3)---IOC装配Bean(注解方式)
    Spring框架(2)---IOC装配Bean(xml配置方式)
    Spring框架(1)---Spring入门
    Mybatis框架(5)---动态sql
    Mybatis框架(4)---输入输出映射
  • 原文地址:https://www.cnblogs.com/panxuejun/p/9138550.html
Copyright © 2011-2022 走看看