美文网首页
xss mybatis sql注入漏洞修改小技巧

xss mybatis sql注入漏洞修改小技巧

作者: 爱吃赵一鸣 | 来源:发表于2024-09-03 10:19 被阅读0次

 公司一直使用mybatis作为orm框架,SQL统一管理在xml文件中。最近客户系统上线前进行系统等保检查,反馈有大量的SQL注入漏洞,需要进行修复才能上线。

        查看发过来的文档,问题SQL集中在几种SQL,ids参数值'aa','bb' name参数值 aa

1、select a.fid,a.fname from a where a.fid in(${ids})

2、select a.fid,a.fname from a where a.fname like'%${name}%'

        mybatis中使用#号占位符会根据参数值类型增加引号,而$占位符则是直接显示原值,所以存在被SQL注入的可能。系统中大量存在这样的写法,如果改传值需要去修改代码的逻辑,工作量太大。如果改xml就能修复这个问题,工作量少很多,第2条比较简单,第1条复杂点,试了多次终于可以了,下面是方案,使用eclipse的正则替换,半小时就把这个问题解决了

1、selecta.fid,a.fname from a where a.fid in<foreach collection="ids.replace("'","").split(',')" index="index" item="item"open="(" separator=","close=")">#{item,jdbcType=VARCHAR}</foreach>

2、select a.fid,a.fname from a where a.fname like concat('%',#{name},'%')

       等保现在是系统上线的基本要求了,所以 工作中mybatis推荐使用#占位符,避免SQL注入,

相关文章

  • Mybatis框架下SQL注入漏洞书目录

    Mybatis框架下SQL注入漏洞 SQL注入漏洞基本原理 Mybatis框架介绍 Mybatis框架下易产生SQ...

  • Web 开发常见安全问题

    前端安全XSS 漏洞CSRF 漏洞 后端安全SQL 注入漏洞权限控制漏洞SESSION 与 COOKIEIP 地址...

  • Web 开发常见安全问题

    前端安全 XSS漏洞 CSRF漏洞 后端安全 SQL 注入漏洞 所有 SQL 语句都使用参数化查询(推荐)或对参数...

  • 常见的WEB攻击

    XSS攻击,CSRF攻击,SQL注入攻击,文件上传漏洞,DDoS攻击,其他攻击手段 1.XSS攻击 XSS(Cro...

  • 安全性测试

    安全性测试 • 认证与授权 • Session和cookie • 文件上传漏洞 • SQL 注入 • XSS 跨站...

  • sql注入漏洞

    扫描结果是安全公司反馈回来的,有很多安全方面的漏洞,其中有sql注入,XSS注入,宽字节跨站漏洞,Javascri...

  • (基础)代码审计sql漏洞挖掘

    sql注入漏洞 1.基本技巧 sql注入漏洞通常有两种利用方式。一种是权限较大,直接写入webshell,另外一种...

  • 阿里云安全培训

    阿里云安全现状 •个人/企业账号密码攻击 •API,应用攻击 漏洞类型 越权 SQL注入 XSS SSRF JS...

  • Web应用程序攻击

    web攻击技术:SQL技术(脚本注入攻击)、XSS攻击(跨站脚本攻击)、上传漏洞(文件上传) 网站结构:登录页面 ...

  • Spring Cloud Gateway 实现XSS、SQL注入

    XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局...

网友评论

      本文标题:xss mybatis sql注入漏洞修改小技巧

      本文链接:https://www.haomeiwen.com/subject/kuykljtx.html