mysql注入模糊_sql模糊查询,以及sql注入问题
mysql 模糊查询 与 sql注入
一、根据姓名模糊查询员工信息
方式一
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like #{empName}
以上方式需要在传值时加上%% 即 %张三% 手动添加通配符
方式二
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like '%${empName}%'
通过$方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题:会引发sql注入的问题
方式三
既能解决sql注入又能够在位置文件中写%,可以使用mysql的函数 concat
select
id, emp_name as empName,
sex,email,birthday,address
from
t_employee
where
emp_name like concat('%',#{empName},'%')
补充
对于方式三也可使用 $ 即
emp_name like concat('%','${empName}','%')
总结
{}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值
传入字符串后,会在值的两边加上单引号,使用占位符的方式提高效率,防止sql注入
${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入
二、sql注入
1、什么是sql注入
通过输入的内容,改变原程序中的sql语句的结构,从而实现无账号登录、甚至篡改数据库
2、sql注入攻击实例
String sql = "select * from user_table where username = '"+username+"' and passwrod ='"+password+"';
当上述sql 中参数输入 ‘or 1=1 -- and password ='’ 无论输入的账号密码是什么一定会成功
3、sql注入的原理
注入原因:sql语句接收来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分,从而改变了sql语句本身,造成sql注入。
4、防范方法
检查变量数据的类型和格式
过滤特殊字符
绑定变量,使用预编译语句 最佳方式: 即在sql语句中,变量用问号?表示
5、什么是sql预编译
预编译语句是什么
通常我们的一条sql在db接收到最终执行结果返回分为三个过程
词法和语义解析
优化sql语句,制定执行计划
执行并返回结果
所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者参数化,一般称这类语句叫做Prepared Statements
预编译语句的优势在于:依次编译,多次运行,省去课解析优化过程,还能防止sql注入
6、mybatis 如何防止sql注入
1、以下sql的区别
select id, username, password, role
from user
where username = #{username,jdbcType=VARCHAR}
and password = #{password,jdbcType=VARCHAR}
select id, username, password, role
from user
where username = ${username,jdbcType=VARCHAR}
and password = ${password,jdbcType=VARCHAR}
将传入的数据都当成一个字符串,会自动对传入的数据加一个双引号。
如: where username =#{username}, 如果传入的值是111,那么解析成sql的值为 where username =“111”
$将传入的数据直接显示生成在sql 中
如 where username =${username} 如果传入的值为111,那么解析成sql时的值为where username =111;
如果传入的值为 ;drop table user 则会有删表现象
因此 :#方式能够很大程度上防止sql注入,$方式无法防止sql注入
$方式一般用于传入数据库对象, 例如传入表名
【结论】在编写MyBatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。
2、mybatis 如何防止sql注入
MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,参考上面的两个例子。其中,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中使用#的即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的:
select id, username, password, role from user where username=? and password=?
3、mybatis 底层实现防止sql注入的原理:
【底层实现原理】MyBatis是如何做到SQL预编译的呢?其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行同一个SQL时,能够提高效率。原因是SQL已编译好,再次执行时无需再编译
mysql注入模糊_sql模糊查询,以及sql注入问题相关推荐
- mybaits的模糊查询_mybatis模糊查询防止SQL注入(很详细)
SQL注入,大家都不陌生,是一种常见的攻击方式.攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如"or '1'='1'"这样的语句),有可能入侵参数检验不足的应用程序 ...
- 怎么进行mysql注入测试_MySQL for Java的SQL注入测试
只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是 ...
- mysql注入漏洞语句,web安全之sql注入漏洞
概念 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.通俗地讲,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力 ...
- php mysql 注入一句话木马_渗透技术--SQL注入写一句话木马原理
讲一下SQL注入中写一句话拿webshell的原理,主要使用的是 SELECT ... INTO OUTFILE 这个语句,下面是一个语句的例子: SELECT * INTO OUTFILE 'C:\ ...
- php如何防sql注入,如何在PHP中防止SQL注入
本篇文章将给大家介绍关于PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驱动程序防止SQL注入的方法.下面我们来看具体的内容. 简单的SQL注入示例 例如,A有一个银行网站.已为银行客 ...
- SQL注入是什么,怎么防止SQL注入?
SQL注入是什么,怎么防止SQL注入? 一.什么是SQL注入? SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录 ...
- concat mysql sql注入_Mysql中用concat函数执行SQL注入查询的方法
Mysql数据库使用concat函数执行SQL注入查询 SQL注入语句有时候会使用替换查询技术,就是让原有的查询语句查不到结果出错,而让自己构造的查询语句执行,并把执行结果代替原有查询语句查询结果显示 ...
- 绕过waf mysql爆库_iwebsec刷题记录-SQL注入漏洞
被推荐了这个web平台,感觉挺适合新手的,网上搜了下没看到有人写wp,这里本入门萌新来稍微整理下自己解题的过程 SQL注入漏洞 01-数字型注入 http://localhost:32774/sqli ...
- mysql limit sql注入_LIMIT子句中的盲 SQL注入漏洞利用
原文:https://www.noob.ninja/2019/07/exploiting-tricky-blind-sql-injection.html 前言 嘿!有好长时间没有更新过博客了,不知道大 ...
最新文章
- 通过Spark listener实现Direct模式读取Kafaka数据
- C++ OJ在线编程常见输入输出技巧与示例
- QT的QMimeDatabase类的使用
- pcm 采样率转换_PCM编码与Waveform音频文件(.wav)格式详解
- 好看好用的花前月下网易云等级代挂程序(支持扫码登录)
- python绘制一棵樱花树
- matlab条形图颜色矩阵,Matlab条形图 – 根据符号和大小填充不同颜色的条形图
- pagehelper Jar包下载
- WebService接口开发和调用
- 如何自学成为设计师_不会自学,你永远只能是个三流设计师
- php元换成万元,人民币单位换算器(元换算成万元换算器)
- 教程篇(7.0) 03. FortiClient EMS配置和管理 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
- 机器视觉技术的尺寸测量
- 数据库 insert 数据的几种方式
- 新浪财经独家对话达利欧:桥水员工离职率曾高达30%
- 微生物群落基于KEGG预测功能的丰度分布图绘制
- 穿越六年艰难转型,明道云终于再获主流投资
- graphs菜单_Graphs Made Easy-统计图绘制软件下载 v4.1.0.0 官方版 - 安下载
- Word保存高清图片
- JAVA作业三:教练与运动员案例
热门文章
- 福建泉州一女子意外收到近百万巨款 辗转一周物归原主
- Cocos2d-x 游戏发布攻防篇01:防止打包党的小技巧
- 怪物猎人x服务器维护,怪物猎人X006报错解决办法 怪物猎人X掉线怎么办
- 神经网络简述(配图赞!)
- python 音乐编程,python插入音乐进行播放的方法
- 永恒python和深渊_【2019校招真题】魔法深渊(python)
- wasd和上下左右互换了怎么办?
- 什么是Maven以及Maven的优点
- gdt描述_GDT描述符表
- 罗伯法口诀_罗伯·帕多(Rob Pardo)将参观Unity开发人员