Mybatis Order by动态参数防注入方式
更新时间:2024年04月19日 14:56:24 作者:偷代码的猫
这篇文章主要介绍了Mybatis Order by动态参数防注入方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
一、先提及一下Mybatis动态参数
| 参数符号 | 编译 | 安全 | 值 |
| #{} | 预编译 | 安全 | 处理后的值,字符类型都带双引号 |
| ${} | 未预编译 | 不安全,存在SQL注入问题 | 传进来啥就是啥 |
二、order by 动态参数
order by 后面参数值是表字段或者SQL关键字
所以使用#{} 是无效的,只能使用${}
那么SQL注入问题就来了
三、解决Order by动态参数注入问题
1、使用正则表达式规避
特殊字符 * + - / _ 等等
使用indexOf判断到了直接返回
有可能会存在其它情况,不能完全规避,但是可以逐步排查
2、技巧解决
- 2.1 先从order by 动态参数思考
组合情况只有这两种
- order by 字段名 (asc直接略掉得了)
- order by 字段名 desc
所以我们只要找到对应集合,判断我们动态排序条件是否在其中就可以了
- 2.2 获取排序条件集合
有些勤劳的小伙伴可能就开始写了
userOrderSet = ['id','id desc','age','age desc',.......] scoreOrderSet = ['yuwen','yuwen desc','shuxue','shuxue desc',.......] .............
要是有n多表n多字段可是要急死人
我们使用注解+映射来获取
- 2.3 动态获取集合
/**
首先改造实体类,有@Column注解映射,也有使用@JsonProperty,都行,没有用@Column映射,就加个@JsonProperty,不影响,我偷懒使用@JsonProperty
**/
@Data
@Builder
@JsonIgnoreProperties(ignoreUnknown = true)
public class ContentEntity {
@JsonProperty("id")
private Long id;//主键ID
@JsonProperty("code")
private String code;//编码
@JsonProperty("content")
private String content;//内容
@JsonProperty("is_del")
private Integer isDel;//是否删除,0未删除,1已删除
@JsonProperty("creator")
private String creator;//创建人
@JsonProperty("creator_id")
@JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
private Date createAt;//创建时间
@JsonProperty("updater")
private String updater;//更新人
@JsonProperty("updater_id")
@JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
private Date updateAt;//更新时间
}/**工具类来了**/
public class MybatisDynamicOrderUtils {
private static final String desc = " desc";
/**
* 获取对象 JsonProperty 值列表 使用Column替换一下
* @param object
* @return
*/
public static Set<String> getParamJsonPropertyValue(Class<?> object){
try {
//获取filed数组
Set<String> resultList = new HashSet<>();
Field[] fields = object.getDeclaredFields();
for (Field field:fields){
//获取JsonProperty注解
if(field.getAnnotation(JsonProperty.class)!=null){
JsonProperty annotation = field.getAnnotation(JsonProperty.class);
if (annotation != null) {
//获取JsonProperty 的值
String jsonPropertyValue = annotation.value();
resultList.add(jsonPropertyValue);
}
}
}
return resultList;
}catch (Exception e){
e.printStackTrace();
}
return null;
}
/**
* 判断动态order是否是合理
* @param order
* @param object
* @return
*/
public static Boolean isDynamicOrderValue(String order,Class<?> object){
//先获取JsonProperty 注解中的集合
Set<String> set = getParamJsonPropertyValue(object);
//属于直属字段 直接返回
if(set.contains(order)){
return true;
}
//多了倒序,先去除倒序字段再判断
if(order.lastIndexOf(desc)>0){
String temp = order.substring(0,order.lastIndexOf(desc));
if(set.contains(temp)){
return true;
}
}
return false;
}
}//调用操作一下
//检验动态order是否合理,防止SQL注入
if(!MybatisDynamicOrderUtils.isDynamicOrderValue(sort,ContentEntity.class)){
log.error("dynamic order is error:{}",sort);
return null;
}
//mapper.class
@Select({"<script>select * from content order by ${sort}</script>"})
List<ContentEntity> getList(@Param("sort") String sort);总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了Sentinel结合Nacos实现数据持久化过程,要持久化的原因是因为每次启动Sentinel都会使之前配置的规则就清空了,这样每次都要再去设定规则显得非常的麻烦,感兴趣想要详细了解可以参考下文2023-05-05
这篇文章主要介绍了Java如何生成中间logo的二维码,文中讲解非常细致,代码帮助大家更好的理解和学习,感兴趣的朋友可以了解下2020-07-07
这篇文章主要介绍了Maven多模块编译慢的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-09-09
多线程和并发问题是Java技术面试中面试官比较喜欢问的问题之一。在这里,从面试的角度列出了大部分重要的问题,感兴趣的小伙伴们可以参考一下2016-06-06
这篇文章主要介绍了SpringBoot 配置文件加载位置与优先级问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-09-09
下面小编就为大家分享一篇java队列实现方法(顺序队列,循环队列),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-08-08
Spring @Conditional通过条件控制bean注册过程
这篇文章主要为大家介绍了Spring @Conditional通过条件控制bean注册过程详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-02-02
这篇文章主要介绍了Java中EnumMap代替序数索引代码详解,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下2018-02-02
这篇文章主要给大家介绍了关于SpringBoot中使用Redis的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
这篇文章主要介绍了Mybatis Interceptor 拦截器的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-12-12
最新评论