sql注入ibatis
① IBatis如何防范sql 注入攻击
UnSafeBean b = (UnSafeBean)sqlMap.queryForObject(”value”, request.getParameter(”name”));
漏洞1 说明:
其中sqlmap方式是把$*$ 替换,假设用户输入 ‘;drop table admin–
那么翻译为本地SQL为
select * from table where name like ‘%’;drop table admin–%’
修补方法:
采用 #*# 的方式 sqlmap是采用 预编译方式处理
把转义操作交给数据库本身!
② ibatis可以动态注入sql吗
<typeAlias alias="author" type="com.ibatis.Author"/>
<resultMap id="authorResult" class="author">
<result property="id" column="ID"/>
<result property="name" column="NAME"/>
<result property="address" column="ADDRESS"/>
<result property="gender" column="GENDER"/>
<result property="age" column="AGE"/>
</resultMap>
<select id="getAllAuthor" resultMap="accountResult" >
select $fieldname$ from author
</select>
再检查com.ibatis.Author是否属性都对应上了。
③ hibernate能否防止sql注入
struts2不涉及sql,要防止sql注入,只需要你在持久层创建Statement对象时,调用Connection对象的prepareStatement方法创建出PreparedStatement对象,用该对象来发送sql语句即可。该对象发送的sql是预编译的,所以可以防止sql注入。另外如果你用了Hibernate或者ibatis的话,就不用纠结这个问题了
④ mybatis在传参时,为什么#能够有效的防止sql注入
因为在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要程序开发者在代码中手工进行处理来防止注入。
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;
$xxx$ 则是把xxx作为字符串拼接到sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会翻译成order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会翻译成 order by topicId
#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id".
2. $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是111,那么解析成sql时的值为order by user_id, 如果传入的值是id,则解析成的sql为order by id
所以说#方式能够很大程度防止sql注入。
⑤ struts2怎么防止sql注入
sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种死板的方式。
一起jquery,17jquery
mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
一起jquery,17jquery
<</span>select id="getBlogById" resultType="Blog" parameterType=”int”>
17jquery.com
select id,title,author,content 内容来自17jquery
from blog where id=#{id} 一起jquery,17jquery
</</span>select> 内容来自17jquery
这里,parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文,如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
内容来自17jquery
select id,title,author,content from blog where id = ?
一起jquery,17jquery
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
一起jquery,17jquery
mybatis是如何做到sql预编译的呢?其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。 一起jquery,17jquery
话说回来,是否我们使用mybatis就一定可以防止sql注入呢?当然不是,请看下面的代码:
17jquery.com
<</span>select id="orderBlog" resultType="Blog" parameterType=”map”>
17jquery.com
select id,title,author,content 一起jquery,17jquery
from blog order by ${orderParam}
17jquery.com
</</span>select>
内容来自17jquery
仔细观察,内联参数的格式由“#{xxx}”变为了${xxx}。如果我们给参数“orderParam”赋值为”id”,将sql打印出来,是这样的:
内容来自17jquery
select id,title,author,content from blog order by id
一起jquery,17jquery
显然,这样是无法阻止sql注入的。在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行处理来防止注入。 一起jquery,17jquery
结论:在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
⑥ ibatis中使用like时怎么避过sql注入
ibatis中使用like时如何避过sql注入
普通的拼写方式为:
<if test="remark != null and remark != ''">and remark like '%'+#{remark}+'%'</if>
如果遇到变量名刚好是数据库的关键字,拼写方式如下所示:
<if test="action != null and action != ''">
<![CDATA[
and action like '%'+#{action}+'%'
]]>
</if>
⑦ 如何从根本上防止 SQL 注入
sql注入漏洞常见于用户输入时,如输入账户时。处理办法一般有:
1、使用强类型开发语言,如java\c\c++\c#等;
2、使用OWASP API等工具插件对输入的参数进行转码;
3、使用PrepareStatement接口来取代Statement来封装带入的参数(set方法);
4、使用成熟的持久层框架,如ibatis来处理数据存储;
5、对用户输入的字符串进行后台校验,禁止关键字(SELECT\DELETE\INSERT\OR\=\--等)
6、尽可能少用字符串拼接形成sql语句;
7、关键条件语句写在带入参数的前面,含有带入参数的部分用括号括起来,如"select *from table where if_important='Y' and (user_name="+userName+")";
⑧ Ibatis里面用in写SQL语句,问什么报下面的错
ibatis sql in 操作(iterate属性)
1、使用iterate属性,status为数组。
<isNotNull property="status">
<![CDATA[ status in ]]>
<iterate property="status" conjunction="," open="(" close=")">
#status[]#
</iterate>
</isNotNull>
2、使用$,但这种写法存在一定的风险,可能会引起sql注入。
SELECT * FROM test WHERE status in ($status$);