堆棧內存溢出
  簡體   English   中英

Mybatis-防止在LIKE查詢中再次進行SQL注入

[英]Mybatis - preventing agains SQL Injection in LIKE query

 原文  2017-03-04 19:19:26       java/ sql/ sql-server/ mybatis

問題描述

我正在使用sql server 讓我們在mybatis查看以下查詢:
param是字符串類型,在數據庫中SomeColumnVARCHAR類型 

...
 = SomeColumn LIKE '%#{param, jdbcType=VARCHAR}%'

它返回錯誤:

org.mybatis.spring.MyBatisSystemException:嵌套異常為org.apache.ibatis.type.TypeException:無法設置映射參數:ParameterMapping {property ='param',mode = IN,javaType = class java.lang.Object,jdbcType = VARCHAR,numericalScale = null,resultMapId ='null',jdbcTypeName ='null',expression ='null'}。 原因:org.apache.ibatis.type.TypeException:使用JdbcType null為參數#1設置非null時出錯。 嘗試為此參數或其他配置屬性設置不同的JdbcType。 原因:org.apache.ibatis.type.TypeException:使用JdbcType VARCHAR為參數#1設置非null時出錯。 嘗試為此參數或其他配置屬性設置不同的JdbcType。 原因:com.microsoft.sqlserver.jdbc.SQLServerException:索引1超出范圍。

我無法處理(任何想法?),但是我發現了一些東西: 

...    
<bind name="param" value="'%' + param + '%'" />
...
     = SomeColumn LIKE #{param}

它確實有效。 我認為這阻止了我的SQL Injection但我不確定。 你能回答嗎? SQL Injection安全嗎?

1 個解決方案

解決方案1
 0  2019-08-27 10:27:30

我們遇到了同樣的問題,以下方法對我們有效:

例如,從TABLE1中選擇*,其中COLUMN1如'%'||。 #{PARAM_NAME} || '%';

這樣可以防止SQL注入,並允許在LIKE查詢中使用#。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 防止Redshift SQL注入 防止在Ibatis中進行SQL注入 MyBatis SQL 生成器 Class LIKE with % 防止SQL注入 - mybatis和spring 使用Mybatis檢查SQL注入的輸入 通過替換占位符而不是在查詢中附加用戶數據來防止SQL注入 在沒有預准備語句的情況下防止SQL注入(JDBC) MyBatis保護字符串替換參數免受SQL注入 此查詢是否可以進行SQL注入? 將整個SQL查詢作為參數傳遞給MyBatis中的映射器
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM