MyBatis动态表名或动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案

已于 2023-07-20 13:01:49 修改
阅读量3.1k 收藏 6
点赞数 1
分类专栏: Java安全问题解决 文章标签: mybatis sql 数据库 安全 web安全
于 2023-07-20 12:58:44 首次发布
eguid温馨提示:本博客所有原创文章、代码和作品版权均归作者eguid所有,如有转载需要征得作者同意,侵权必究!博主GITHUB:https://github.com/eguid/
本文链接:https://blog.csdn.net/eguid_1/article/details/131826859
版权
本文分析了MyBatis使用${}动态表名或排序时的安全风险,可能导致SQL Injection。提供了安全代码示例,如通过过滤特殊字符或使用参数化查询来防止SQL注入,强调在实际应用中应确保表名过滤逻辑的安全性和合法性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复

安全风险分析

造成 SQL Injection 漏洞的根本原因在于攻击者可以更改 SQL 查询的上下文,导致程序员原本要作为数据解释的数值却被解释为命令。构造 SQL 查询后,程序员知道哪些字符应作为命令解释,哪些字符应作为数据解释。参数化 SQL 语句可以防止直接窜改上下文,避免几乎所有的 SQL Injection 攻击。参数化 SQL 语句是用常规的 SQL 字符串构造的,但是当需要添加用户提供的数据时,它们就需要使用捆绑参数,这些捆绑参数是一些占位符,用来存放随后插入的数据。换言之,捆绑参数可以使程序员明确告知数据库哪些字符应被视为命令,哪些字符应被视为数据。这样,当程序准备执行某个语句时,它可以为数据库指定每一个捆绑参数所使用的运行时值,而不会存在数据被篡改为命令的风险。

危险代码示例

  1. 动态表名查询代码

select * from ${tablename}

  1. 动态删除代码

delete from ${ta

了解本专栏 订阅专栏 解锁全文
java 多线程 压缩_Java 多线程拷贝文件夹调用tinyPng算法接口压缩图片实现生产消费变种)...
weixin_34997870的博客
02-25 299
线程模型生产者Provider线程为一,主要进行深搜目录文件;、消费者Consumer线程多个, 因为RPC服务调用时延较长, 启用多个线程请求服务。持久化线程Persist 将已经消费的消息存放在writeQueue, 启用一个线程从writeQueue取数据进行持久化到log.pic,这样每次启动压缩的时候,可以避免重复消费。 进而避免同一目录进行多次压缩api_key.properties ...
直击高频编程考点:图论总结及经典算法题总结
张彦峰的博客
05-12 168万+
图论基本分析以及相关编程练习加深练习(单词接龙、克隆图、岛屿数量、网络延迟时间、单源最短路径、负权最短路径问题、具有最小生成树的连通图的最小代价、找到最终的安全状态、网络流问题的最大流、图中的可变流量、图中的割边、隐藏的好友、欧拉路径、哈密顿路径、判断是否为二分图、用颜色填充区域等)
TinyPng多线程图片批量压缩v3.0(内存优化版)
09-23
图片压缩工具,采用TinyPng接口,更多描述信息请参考博客:https://blog.csdn.net/ByAlick 亲测,能正常用,只是批量压缩量大后有概率失败!!! 可惜只能处理png格式,无法处理jpg及其他格式
如何使用 tinypng 进行批量压缩
weixin_33696822的博客
07-27 384
不管是博客还是产品中,都会涉及图片的使用,但是如果图片体检太大,会影响使用体验,所以网上有各种各样的支持图片压缩的网站,tinypng 是其中的佼佼者。 今天要介绍的就是如何通过 python 脚本实现一键压缩。 直接上代码: # -*- coding: utf-8 -*- """脚本功能说明:使用 tinypng,一键批量压缩指定文件()所有文件""" import os import s...
javaapi_TinyPNG 智能 PNG 和 JPEG 压缩JAVA API)
weixin_39644952的博客
12-02 253
TinyPNG 图像优化,完美平衡您的图片质量和大小。TinyPNG使用智能有损压缩技术来减少PNG文件文件大小。通过选择性地减少图像中的颜色数,存储数据需要更少的字节。效果几乎看不见,但它在文件大小上造成了很大的差异!安装依赖MAVEN您可以将Java客户端作为Maven依赖项使用,方法是将以下内容添加到应用程序的pom.xml中。为了避免在更新客户端时破坏代码中的更改,请用特定版本替换发行版...
2024 JAVA Tinypng压缩图片,超级简单!!!
m0_47484034的博客
04-29 2000
2024 JAVA Tinypng压缩图片,超级简单!!!
互联网大厂高频面试题基本总结回顾(含笔试高频算法整理)
热门推荐
张彦峰的博客
04-03 176万+
1.自我介绍+项目介绍+项目细节/难点提问-------这个主要看个人的经历了,每个人都不一样 2.基础知识点考核---------还是可以去增强自己的,也是这次的主要的一些总结思路 3.算法题-----------一般都是LeetCode高频题,这个得在找工作之前的好好的练习(d对常见的高频题进行总结分析,见对应的链接提示)
相关业务问题+系统问题+设计问题整理统计
张彦峰的博客
04-07 171万+
业务系统及其他相关面试问题整理:线上相关问题排查+高发系统的限流+高发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?且需在给定内存空间(比如:500M)内快速判断出?
斩获 offer 的 Java 面试宝典
程序员爱酸奶
04-11 1万+
这是本人整理的数万字的面试笔记,基本上涵盖了 Java 领域的所有技术栈,本人也是凭借这份面试笔记斩获了近 10 个 offer,面试成功率高达80%。当然这份笔记是我根据自身的经验和技术栈整理的,自己觉得很重要的或者记不清的就会记录记录下来,面试被问到的时候也有回答的思路。现在共享给大家,希望对准备面试的小伙伴有帮助。 1. 微服务 1.1 主流注册中心对比 zookeeper:zookeeper 作为注册中心主要是因为它具有节点变更通知功能。只要客户端监听相关服务节点,服务节点有所变更就能及时的通知到监
Java发编程(十九):ScheduledThreadPoolExecutor总结与源码分析
黄智霖的博客
05-09 8513
目录前言使用源码分析 前言   ScheduledThreadPoolExecutor主要用于处理延时任务或者定时任务,在平时的工作场景中也有被广泛应用,而我们有了前文关于ThreadPoolExecutor源码的深入理解,这里理解ScheduledThreadPoolExecutor便会顺畅不少。 使用 ScheduledThreadPoolExecutor的使用还是比较简单,总体来说主要有三种方式提交任务: schedule: scheduleAtFixedRate: scheduleWithFixe
TinyPNG PNG图片压缩利器
05-09
PNG 是一种无损格式,JPG是有损格式。JPG在处理颜色很多的图片时,根据压缩率的不同,有时会去掉一些肉眼识别差距较小的中间颜色。但是PNG对于无损这个基本要求,会严格保留所有的色彩数。 所以。图片尺寸大,或者色彩数量多特别是渐变色的多的时候,PNG的体积会明显大于JPG。 Android 的界面能用 PNG 最好是用 PNG 了,因为32位的PNG 颜色过渡平滑且支持透明。JPG是像素化压缩过的图片,质量已经下降了,要尽量避免使用。 对于颜色繁杂的,比如照片墙纸之类的图片(有些应用的启动画面喜欢搞这种),那用JPG是最好不过了,这种图片压缩压缩后肉眼分辨几乎不计,如果保存成PNG 体积将是JPG的几倍甚至几十倍,严重浪费体积
tinify-sdk:TinyPNG Java SDK
04-28
TinyPNG Java SDK TinyPNGJava SDK封装,官方提供的都是静态方法来请求,自己用起来不是很习惯,因此封装了一个,该SDK是按照命令模式设计,因此使用是相当简单. 初始化Client Client是使用方所关心的执行器,其需要提供APIKey以及HTTP的实现(由于大多数场景都是需要定制Http请求,因此这里是直接让使用方实现). TinifyClient client = new DefaultTinifyClient("api key", HTTP实现); Shrink 图片App.svelte,使用方式创建对应的请求命令XXRequest,然后使用Client执行即可. @Test public void testShrink() { ShrinkRequest request = new ShrinkRequest(); r
tinypng客户端
03-19
图片压缩工具,解压后修改api_key.properties文件中的key(在https://tinypng.com/网站注册api key),然后运行tinypng.jar即可
PngEncoder.java针对java平台处理png压缩算法
08-10
PngEncoder.java针对java平台处理png压缩算法
TinyPng 图片 批量压缩
09-01
功能: (1)key管理 a. key增删改查 b. 验证key的有效性及可压缩图片 c. 写入xml (2)压缩图片 a. 可拖拽文件文件夹到处理框中 b. 可导出指定路径按照原有目录存储
TinyPng多线程图片压缩工具v4.0
最新发布
weixin_34725745的博客
08-26 1331
本文还有配套的精品资源,点击获取 简介:TinyPng是一款基于TinyPng接口的本地化图片压缩工具,支持多线程压缩,大幅提升效率。它采用智能有损压缩算法,在保持图片质量的同时,大幅减小文件大小。适用于个人用户、企业和开发团队,可集成到自动化流程中,提升用户体验和降低存储成本。 1. TinyPng简介 TinyPng是一款流行的图片压缩工具,它使用先进的无损...
使用TinyPng压缩图片
Dancen的专栏
12-23 1万+
图片资源在安装包中所占的分量很重,减少图片大小,安装包的体积改变立竿见影。 怎么压图呢?自己对图像处理也没有研究啊,只能捡现成的。网上一搜,压图工具很多,但测试之后,恕我直言,很多都是垃圾,有的压图之后图片质量下降严重,有的压图之后图片体积减小微乎其微,更有甚者,能把图片越压越大的。 TinyPng(https://tinypng.com/)是个好同志,TinyPng能够对PNG和JPG/JP
探索TinyPNG-kmeans:基于K-means的高效图片压缩
gitblog_00090的博客
04-23 908
探索TinyPNG-kmeans:基于K-means的高效图片压缩TinyPNG-kmeans 效果好于 tinypng.com 的PNG图像压缩器,压缩率&质量可调,摆脱 tinypng.com 的文件数量限制。 项目地址: https://gitcode....
前端优化之图片压缩——tinyPNG
qq_52335038的博客
06-03 1478
可以将图片压缩,进行优化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

eguid_1

感谢支持eguid原创技术文章

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值