hong2k1 2012-10-14 19:29
浏览 257
已采纳

这样的SQL会有被注入的危险么?

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.config.UserDao">
<select id="findUser" parameterType="int" resultType="com.mybatis.config.User">
     select * from user where 0=0
<if test="userName != null"> 
and userName = #{userName,jdbcType=VARCHAR}
</if> 
<if test="password != null"> 
and password = #{password,jdbcType=VARCHAR}
</if> 
<if test="comment != null"> 
and comment = #{comment,jdbcType=VARCHAR}
</if> 
</select>
</mapper>

 现在有个需求,就是根据表的任何属性来查询查找记录,项目没有用到hibernate,想用mybatis来做,我想问的就是:下面这样的配置会有被注入的危险么?因为mybatis的sql好像也是拼出来的。

  • 写回答

5条回答

  • jinnianshilongnian 2012-10-14 19:45
    关注

    #{password,jdbcType=VARCHAR} 会在mapper时 自动用?替代 即用占位符

    ${password} 这种是有sql注入问题 因为是直接拼字符串方式实现

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(4条)

报告相同问题?

  • SQL注入详解
    2021-03-03 17:38
    Ly4j的博客 SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。...
  • asp 实现对SQL注入危险字符进行重编码处理的函数
    2020-10-30 18:03
    ### ASP 实现对SQL注入危险字符进行重编码处理的函数 #### 概述 SQL注入是一种常见的网络安全攻击方式,攻击者通过将恶意SQL代码插入到应用程序的输入字段中,从而达到控制数据库的目的。为了防止此类攻击,开发...
  • SQL 注入的案例分析参考教程资料+pdf
    2024-12-12 09:38
    SQL注入是一种常见的网络安全攻击手段,通过向应用程序数据库注入恶意的SQL语句,攻击者能够绕过正常的验证机制,...开发人员和安全从业者应充分认识到SQL注入危险性,并通过实际案例学习掌握防范此类攻击的方法。
  • C#检测是否有危险字符的SQL字符串过滤方法
    2020-09-04 08:29
    在实际应用中,除了上述方法,还可以采取其他措施来增强安全性,比如使用参数化查询(PreparedStatement)或存储过程,这能够有效地防止SQL注入,因为它们将用户输入的数据与SQL命令分开处理,从而消除注入的风险...
  • 缓冲区溢出与SQL注入揭秘
    2025-10-25 17:13
    在本文中,我们将深入探讨软件安全的两个主要漏洞——缓冲区溢出和SQL注入攻击。文章旨在帮助用户理解不自觉的程序缺陷如何被注入,这些缺陷如何导致安全漏洞,以及攻击者如何利用这些漏洞进行攻击。文章详细描述了...
  • 什么是SQL注入?如何避免数据库被黑客攻陷?
    2025-05-12 14:34
    PWRJOY的博客 SQL 注入是一种常见的安全漏洞,攻击者通过篡改用户输入,将恶意 SQL 代码注入到数据库查询中,从而执行非预期操作,如数据泄露、篡改或数据库崩溃。其核心原因是程序未对用户输入进行过滤或转义,直接将输入拼接到 ...
  • 如何有效防止 SQL 注入攻击?
    2025-04-27 16:49
    Edward.W的博客 SQL 注入SQL Injection)是黑客通过构造恶意输入,篡改 SQL 查询语句的攻击方式。:转义不如参数化查询安全,某些场景可能失效(如。如果必须拼接 SQL,确保转义特殊字符(如。使用参数化查询 + ORM 是黄金标准。...
  • SQL 注入详解.pdf
    2024-12-12 10:17
    SQL注入是一种攻击手段,攻击者通过在用户输入变量中插入恶意代码片段,然后将这些变量传递给SQL Server执行。这类攻击主要出现在用户输入没有被正确过滤和验证的情况下,使得攻击者能够操纵SQL命令,获取未授权的...
  • 本文简要介绍了sql注入
    2024-11-25 20:29
    4. 遵循最小权限原则:确保数据库账户仅拥有执行其任务所需的最小权限,即便发生SQL注入,攻击者也无法执行更危险的操作。 5. 定期进行安全审计:通过定期审查代码和数据库配置,发现并修复潜在的安全漏洞,以提高...
  • ASP.NET防止SQL注入的方法示例
    2021-01-20 07:29
    在ASP.NET开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL语句来操纵数据库。本文将详细讲解如何使用实例方法防止ASP.NET中的SQL注入。 首先,了解SQL注入的基本概念。SQL注入是当应用程序直接...
  • 没有解决我的问题, 去提问